JP4064914B2 - The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program - Google Patents

The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program Download PDF


Publication number
JP4064914B2 JP2003403371A JP2003403371A JP4064914B2 JP 4064914 B2 JP4064914 B2 JP 4064914B2 JP 2003403371 A JP2003403371 A JP 2003403371A JP 2003403371 A JP2003403371 A JP 2003403371A JP 4064914 B2 JP4064914 B2 JP 4064914B2
Prior art keywords
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
Other languages
Japanese (ja)
Other versions
JP2005167589A (en
宏 丸山
誠治 宗藤
Original Assignee
インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation filed Critical インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation
Priority to JP2003403371A priority Critical patent/JP4064914B2/en
Publication of JP2005167589A publication Critical patent/JP2005167589A/en
Application granted granted Critical
Publication of JP4064914B2 publication Critical patent/JP4064914B2/en
Application status is Expired - Fee Related legal-status Critical
Anticipated expiration legal-status Critical




    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity


本発明は、コンピュータ・ネットワークにおけるセキュリティに関連し、特にリモート・ネットワーク環境において安全にプログラムを実行させる手段を含むネットワーク環境において有効な、情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法、およびこれら装置で実行可能なプログラムに関する。 The method for the present invention is related to security in computer networks, particularly effective in a network environment comprising means for executing the safety program in the remote network environment, information processing apparatus, a server apparatus, the information processing apparatus, the server the method for the device, and a program executable by these devices.

近年では、機密情報、重要な情報またはコンピュータ自体を、予期されていない攻撃から保護するために、ネットワーク・システムの安全性が強く要求されている。 In recent years, secret information, important information or the computer itself, in order to protect from expected non attack the security of the network system is strongly required. この目的のため、例えばPalladium(商標)といったいくつかの試みが提案されている(非特許文献1)。 For this purpose, for example, several attempts such as Palladium (TM) has been proposed (Non-Patent Document 1). Palladiumアーキテクチャでは、プラットホーム製造者は、いわゆるNubを、新規に製造されたPCにインストールさせると共に、Nubとして参照されるカーネル内に、公開鍵/私有鍵ペアを生成させ、PCが正当なPalladiumプラットホームであることを認証するための製造者証明を与える。 The Palladium architecture, platform manufacturer, the so-called Nub, causes installed on newly manufactured the PC, in the kernel, referred to as Nub, to generate a public key / private key pair, PC is legitimate Palladium platform give the manufacturer certificate to authenticate that there. これらのプロセスは、このプロセスまたは製造者がNubとプラットホームとの間の信頼性のある結合を生成させるために、唯一信頼できると考えられる、製造プロセス中に完了されなければならない。 These processes, the process or manufacturer in order to produce a reliable bond between the Nub and the platform is considered the only reliable, must be completed during the manufacturing process.

従来のNubシステムは、認証のために1つの制御ポイントを有している。 Conventional Nub system has one control point for authentication. すなわち、正当なPalladium(商標)プラットホームの認証およびプラットホーム上で実行されるアプリケーションの認証である。 That is, a legitimate Palladium (TM) platform authentication and applications running on the platform authentication. 上述したポリシーは、いくつかのタイプのプラットホーム上で実行されるゲーム・タイトルについて与えられた従来の環境に極めて類似するものである。 Above policy is one that very similar to traditional environments given for a game title running on several types of platforms.

ネットワーク接続されたコンピュータ・システムに加え、サーバ・テクノロジーにおいては、サーバは、コンピュータ、PDA、およびある場合には携帯電話などといった、多くの異なったタイプの情報処理装置(以下、本発明では、単にクライアントとして参照する)からの接続を受け付けるために、さらにフレキシビリティのある別のセキュリティ・ポリシーが要求される。 In addition to the networked computer system, in the server technology, server, computer, PDA, and mobile phones, such as in some cases, many different types of information processing apparatus (hereinafter, in the present invention, simply to accept connections from reference as a client), it is required another security policy further a flexibility. サーバに加え、クライアントは、Palladiumベースのプラットホームや他の信頼性アーキテクチャに基づいたプラットホームと対話することができる。 In addition to the server, the client can interact with the platform based on the Palladium-based platforms and other reliability architecture. サーバは、異なった種類のクライアントについてもサービスを提供することができる、より柔軟なポリシーを含むことができる。 The server can provide services for different types of clients may include more flexible policy. このため、サーバは、より柔軟でかつアプリケーションから独立したポリシーの下で、セキュリティに対して対応することが必要とされる。 Therefore, the server under the more flexible and policy independent of the application, it is required that the corresponding relative security.

OSGi(非特許文献3)は、個別的なサービスのための環境を提供するために設計されたフレームワークを規定しており、上述したようなサービスを提供し、管理し、ライフサイクル処理を行う機能を提供する。 OSGi (Non-Patent Document 3) sets forth a framework designed to provide an environment for the individual services, and provides services as described above, manages, and performs lifecycle process to provide a function. 最も重要な点は、OSGiは、他のバンドルからの干渉に対してサービス・バンドルを保護することにある。 Most importantly, OSGi is to protect the service bundle to interference from other bundles. 同様に、ユーザ管理サービスおよびプログラム化されたアクセス制御についてのサービスが利用可能である。 Similarly, services for user management services and programmed access control are available.

典型的には、クライアントおよびサーバといったプラットホームは、単一のJava(登録商標)仮想マシンのインスタンスを含んでおり、単一のOSGiフレームワークのインスタンスが他のサービスのすべてを実行させながら実行されている。 Typically, the platform such clients and servers, includes an instance of a single Java (registered trademark) virtual machine, an instance of the single OSGi framework is performed while performing all other services there. 各サービスのバンドルは、自己のクラス・ローダを有しており、このクラス・ローダは、バンドル・クラスの干渉を避けるように構築されている。 Bundles of each service has its own class loader, the class loader is constructed so as to avoid interference with bundle class. OSGiは、標準的なJava(登録商標)2のセキュリティ機構の上に成り立つ。 OSGi is established on top of the standard Java (registered trademark) 2 of the security mechanism.

分散コンピューティング・システムでは、アプリケーションを構成するいくつかのコンポーネントは、サーバ、またはある場合にはクライアントといった遠隔したプラットホームにおいて実行する必要がある。 In a distributed computing system, a number of components that make up an application, server or in some cases, it is necessary to run the platform and remotely such client. 遠隔したプラットホームは、ユーザの要求に応じて保護された実行ドメインを提供することができる。 Remote the platform can provide a protected execution domain in response to a user request. これらのコンポーネントが機密事項を含む情報を処理する場合には、実行の機密性および一致姓が同一のプラットホーム上で実行されている他のプログラムから適切に保護されているか否かという疑問が生じる。 If these components to process the information including the confidential question of whether confidentiality and matching surnames execution is adequately protected from other programs that are running on the same platform occurs. この場合、以下に示す2つの状況が考えられる。 In this case, considered are two situations described below.

(i)遠隔情報処理装置(クライアント) (I) remote information processing apparatus (client)
PDAや携帯電話といったモバイル・クライアントは、ますます強力になっている。 Mobile clients such as PDA and mobile phones, have become more and more powerful. 1つの方向として、オンライン・バンキング、e−チケット発行およびオンライン・ゲームなど、多くのサービス・プロバイダは、より機能を充実させ、ユーザーに使いやすくなるように、クライアントに対してそれらのアプリケーションの一部を「プッシュ」ようと試みる。 As one direction, online banking, e- ticketing and such as online games, many of the service providers, to enhance a more functional, so as to be easy to use and user, part of their application to the client a try and for the "push". これらのアプリケーションは、いくつかのアプリケーションが競合する可能性のある場合には機密保持されねばならない情報を有しているので、互いに分離される必要がある。 These applications, because it has information that must be kept confidential if some applications might conflict, needs to be separated from each other. 上述したクライアント上でアプリケーションを実行させることを希望するサービス・プロバイダは、クライアントが機密性のデータやプログラムをサーバへとクライアントが送信する前に、他のアプリケーションに対して充分保護されているか否かを確認する必要がある。 Service providers who wish to be executed the application on the client described above, whether the client before the client sends to the confidentiality of data and programs servers, are well protected against other applications it is necessary to confirm the.

(ii)遠隔オンデマンド・サーバ装置グリッド・コンピューティング環境は、「オンデマンド」コンピューティングを実現する1つの方法である。 (Ii) a remote on-demand server device grid computing environment is one way to achieve "on demand" computing. グリッド・コンピューティングのノードは、通常、異なるセキュリティ・ポリシーを有し、かつ異なるセキュリティ能力を有する複数のグリッド・サービス・プロバイダにより維持されている。 Node of grid computing, typically, is maintained by a plurality of grid service provider with have different security policies, and different security capabilities. グリッド・コンピューティング・ユーザは、ノードに対してジョブを登録する前に、ノード上で実行されているシステム・ソフトウェアのバージョンおよび構成を検証することができなければならず、このことによってユーザは、ノードが提供する保護レベルに満足することができる。 Grid computing user before registering the job to the node must be able to verify the version and configuration of the system software running on the node, the user this means that, it can be satisfied with the level of protection node provides. これらの項目に対応するために、下記の2つの問題が解決される必要がある。 To accommodate these items, it is necessary to two problems below is solved.

(a)装置信頼性 この問題は、どのようにすれば、装置がユーザの考えている装置であるか、および装置がユーザの期待通りの振る舞いをするかを、ユーザが確認することができるかということである。 (A) device reliability problem, if how do device or a device which believes the user, and devices whether the behavior of the user expectations, the user can confirm That's what it means. この問題は、ユーザが装置の同一性および一致性を検証する必要があることを示す。 This problem indicates that the user needs to verify the identity and consistency of the apparatus. プラットホームがユーザの考えるものでない場合には、信頼性の関係が壊される。 If the platform is not intended to think of the user, the relationship reliability is broken. また、例えばウイルス、スパイウェア、トロイの木馬の存在、または違うオペレーティング・システム上で実行されているエミュレータであっても同様である。 Further, such as viruses, spyware, the same applies to the emulator running on Trojan presence or different operating system.

(b)ドメイン分離およびアクセス制御 遠隔サーバは、異なるアプリケーションを提供するために、複数のプログラムを実行することができる。 (B) Domain isolation and access control remote server in order to provide different applications, it is possible to run multiple programs. 各アプリケーションは、分離されなければならず、かつ他のアプリケーションから保護されなければならない。 Each application has to be separated and must be protected from other applications. いくつかの場合には、アプリケーションは、いくつかのリソースを他のアプリケーションと共用することを必要とし、このため、アプリケーションは、どのデータを他のアプリケーションと共用でき、どのデータが保護されるべきであるかの制御を保持することが必要とされる。 In some cases, application, some resources need to be shared with other applications, Therefore, the application, which data can be shared with other applications, should any data is protected it is necessary to retain some of the control. この要求は、また、例えばマルチアプリケーション・スマート・カードにおいても見いだされ、これは、またJava(登録商標)カード・アーキテクチャおよびグローバル・プラットホーム・アーキテクチャにより対応されている(非特許文献2)。 The request may also for example be found in the multi-application smart card, which is also Java (registered trademark) is associated with the card architecture and global platform architecture (non-patent document 2).

本発明は、部分的には、セキュリティ・ハードウェア、安全なオペレーティング・システムのカーネル、およびエンド・ツウ・エンドの信頼性関係を提供するオープン・セキュリティ・プロトコルを含む新規な技術を組み合わせることにより、ネットワークされたプラットホームの基本的な信頼性を高めることができるという着想のもとになされたものである。 The present invention is based, in part, security hardware, secure operating system kernel, and by combining a novel technique comprising an open security protocol that provides end-to-end reliability relationship, It has been made to the original idea that it is possible to improve the basic reliability of networked platforms. 本発明において使用される一致性値、すなわち、PCR値は、システムのパワーオン・リセットから開始されるプラットホームのブートストラップ・シーケンスにおいて生成され、TPMとして参照されるハードウェア・セキュリティ・モジュールにより外部侵入から安全に保護される。 Integrity values ​​to be used in the present invention, i.e., PCR value is generated in the bootstrap sequence of platforms starting from power-on reset of the system, external intrusion by hardware security module referenced as TPM It is safely protected from. このため、本発明における一致性値は、高い安全性を有する。 Therefore, integrity values ​​in the present invention has a high safety. これらの高度に安全な一致性値は、二つの公開鍵暗号の鍵と組み合わされ、高度な安全性を有するネットワーク環境が提供できる。 These highly secure integrity values ​​are combined with the key of the two public key encryption, it provides a network environment having a high degree of safety. 1つ目の鍵は、セキュリティ・モジュールのハードウェア製造者正当性を示す“エンドーズメント鍵”であり、網一つの鍵は、プラットホーム証明に基づき信頼性ある第三者により認証される“検査一致性鍵(Attestation Integrity Key)”である。 The first key is the "endosement key" indicating the hardware manufacturer validity of the security module, a single network key "test match is authenticated by a third party that is reliable based on the platform certification it is a gender key (Attestation Integrity key) ". 両方の鍵は、セキュリティ・モジュール内に格納され、かつ使用される。 Both keys are stored in the security module and used. 一致性値は、“検査一致性鍵”によりチップ内部で署名され、リモート・エンティティへと安全に転送される。 Consistency value is signed with the chip by "inspection consistency keys" are securely transferred to the remote entity.

本発明の目的は、リモート・プラットホーム上で安全にプログラムを実行させる手段を含むネットワーク環境を提供することにある。 An object of the present invention is to provide a network environment including a means for executing the safety program on the remote platform. 例えば、サービス・プロバイダは、クライアント装置上でアプリケーションを実行させる必要がある。 For example, the service provider, it is necessary to run the application on the client device. また、グリッド・コンピューティングのユーザは、リモート・グリッド・コンピューティング・ノードにジョブを登録することを希望する。 The user of grid computing, wishes to register a job to the remote grid computing nodes. これらの場合には、遠隔の情報処理機械での実行の機密性および一致姓を維持することが要求される。 In these cases, it is required to maintain the confidentiality and matching surnames execution by remote processing machine.

さらに、本発明の目的は、ネットワーク内のコンピュータに対して、高い安全性を与える方法およびネットワーク内のコンピュータに対して高い安全性を付与することができる方法をコンピュータに対して実行させるコンピュータ実行可能なプログラムを提供することにある。 Furthermore, object of the present invention, with respect to computers in the network, high security computer executable for executing the method the computer capable of imparting high safety for the process and computers in the network give It is to provide such programs.

信頼性あるブートストラップ 例として、PCプラットホームが起動に伴ってブートストラップを行う場合、BIOS(CRTMとして参照する。)の書き込み保護された部分は、BIOSイメージの一致性(一致性)(イメージのSHA1ハッシュ値)を”測定”し、PCR内にこれらの値が書き込まれる。 As a bootstrap examples reliable, when performing bootstrapping PC platform with the launch, the write protected portion of the BIOS (referred to as CRTM.) Is consistency of BIOS image (coincidence) (Image SHA1 the hash value) "measure", these values ​​are written in the PCR. BIOSは、OSブート・ローダをメモリ内にロードし、同時に、ブート・ローダの一致性を検査し、PCRへと格納する。 BIOS loads the OS boot loader in memory, at the same time, to check the consistency of the boot loader, to store and to the PCR. OSブート・ローダは、OSカーネルおよびいかなる関連する本質的ファイルをロードし、それらの検査し、PCRへと検査された値を格納させる。 OS boot loader loads the OS kernel or essential files any related, their inspected, and stores the test value into PCR. その後、O/Sは、そのブートプロセスを開始させる。 Then, O / S is, to start the boot process. PCR値は、一度書き込まれると、任意の値へと値を変更することが不可能であり、このためこれらの値は、装置の一致性を与える優れた指標を与える。 PCR values, once written, it is not possible to change the value to an arbitrary value, such that their values ​​gives an excellent indicator gives a match of the device.

このため、信頼性を与える次のような連鎖を与える:CRTMは、工場においてインストールされ、置き換えることができないので、CRTMが信頼できる:BIOSイメージは、そのPCR値が、期待されるように、信頼性のあるCRTMの検査によりアップデートされた物である場合には、信頼することができる:OSブート・ローダは、そのPCR値が、期待されるように、信頼されるBIOSにより検査されアップデートされたことを示す場合には、信頼することができる。 Therefore, giving the chain as follows to provide the reliability: CRTM is installed at the factory, can not be replaced, CRTM reliable: as BIOS image, the PCR value is expected, confidence when one in which has been updated by checking the CRTM with sex can be trusted: OS boot loader, the PCR value, as expected, has been updated is examined by trusted BIOS to indicate that can be trusted. OSカーネルはおよび随伴するファイルは、そのPCR値が信頼されるOSブート・ローダにより検査されアップデートされた場合に、信頼される。 OS kernel and associated files, if that is inspected updated by the OS boot loader to the PCR value is trusted, trusted.

これらのPCR値は、リモート・ベリファイアにより問い合わされる(または参照される)。 These PCR values ​​are interrogated by the remote verifier (or referenced). このPCR値は、TPM内に安全に格納されかつ実行される検査一致性鍵(以後、単にAIKとして参照する。)によりディジタル署名され、リモート・ベリファイアが報告された値を信頼することができる。 This PCR value can be inspected matching key (hereinafter, simply referred to as AIK.) To be performed and is securely stored in the TPM is digitally signed by trusts the reported values ​​remote verifier . ベリファイアは、これらの値を、知られた信頼性のある構成値と比較する。 Verifier compares these values, configuration values ​​known reliable and. これらの値が一致する場合には、ベリファイアは、知られたセキュリティ・ポリシーで純正のトラステッド・ドメイン・モデル(TDM)プラットホームと対話する。 If these values ​​match, the verifier, to interact with the known genuine trusted domain model in the security policy (TDM) platform.

これは、プラットホームの一致性を元にきわめて柔軟な信頼関係を可能にする。 This allows very flexible trust based on the consistency of the platform. 例えば、セキュリティの脆弱性が見出され、モバイル・デバイスのオペレーティング・システムが修正されたものとする。 For example, it found security vulnerability, it is assumed that the operating system of the mobile device is modified. このデバイスへアプリケーションとデータとを送ろうとするリモート・ベリファイアは、信頼性のあるPCR値のデータベースをアップデートする必要があるだけである。 Remote verifier to send the applications and data to the device, it is only necessary to update the database of the PCR value reliable. または、より現実的な解は、信頼された第三者(認証エンティティ)に対して、データベースを保持するように依頼することである。 Or, the more realistic solution for trusted third party (authentication entity), is to ask them to hold the database. サービス・プロバイダは、リスクを考慮して、脆弱性が重大ではない場合には、パッチが当てられていないプラットホームに対しても信頼性を与えることさえできる。 Service providers, taking into account the risk, if the vulnerability is not critical, can even give the reliability against unpatched platform. 異なったサービス・プロバイダは、異なったプラットホーム・ポリシーをもって信頼性を与えることができる。 Different service providers can provide the reliability with a different platform policy. バンク・アプリケーションは、きわめて制限的なアクセス制御ポリシーを必要とするが、ネットワーク・ゲーム・アプリケーションは、より厳密ではないポリシーで信頼性を与えることができる。 Bank applications, requires a very restrictive access control policy, network gaming applications, can provide the reliability in a more rigorous and there is no policy. サービスは、PCR値を問い合わせることにより、有効な正確なポリシーを知ることができる。 Service, by querying the PCR value, it is possible to know a valid correct policies.

このアーキテクチャは、本発明による新規なトラステッド・ドメイン・モデル(TDM)を実装するため、利用できるハードウェアおよびソフトウェアおよび他の要素に依存する多くの方法があるために、抽象的なものとして説明する。 The architecture to implement a new trusted domain model (TDM) according to the invention, since there are many ways depending on the hardware and software and other elements available, described as abstract .

1. 1. 概説 本発明は、2001年1月に発行されたオープン・インダストリー規格であるTCPA1.1(現在では、TCPAは、その承継機関であるトラステッド・コンピューティング・グループ(TCG)として認識されている。)により与えられるアーキテクチャを使用する。 Overview The present invention is, 2001 1 is issued open industry standards May TCPA1.1 (Currently, TCPA is recognized as a successor agency Trusted Computing Group, a (TCG).) using the architecture provided by. TCPA/TCGは、組み込みセキュリティ・チップ(トラステッド・プラットホーム・モジュールすなわちTPMとして参照される。)を規定し、TPMは、ソフトウェア一致性の追跡を維持するレジスタ:プラットホーム・コンフィグレーション・レジスタ;PCRに加え公開鍵暗号鍵を保持している。 TCPA / TCG defines the built-in security chip (referred to as trusted platform module i.e. TPM.), TPM is register maintains the software consistency tracking: Platform Configuration Registers; addition to PCR It holds a public key encryption key. トラステッド・ドメイン・モデルは、TCPA/TCGにより与えられる信頼性のあるブートおよびプラットホーム検査能力と、SELinuxにより有効化される統合アクセス制御ポリシーとを必要とする(非特許文献3、非特許文献4、非特許文献5、非特許文献6、非特許文献7、非特許文献8、非特許文献9)。 Trusted Domain Model, and boot and platform inspection capabilities reliable given by TCPA / TCG, requires a unified access control policies that are enabled by SELinux (non-patent documents 3 and 4, non-patent Document 5, non-Patent Document 6, non-patent Document 7, non-patent Document 8, non-patent Document 9). 後述する説明においては、同様の機能部には、同一の数字が付されている。 In the later explained, the same functional unit, the same numerals are assigned. TPMを簡単に説明すると、AIK(より詳細には後述する。)の値自体は、プラットホームの一致性を正当化するのではなく、プラットホームの一致性およびPCRがTPMモジュールに由来するものであることを証明する。 To describe the TPM briefly, the value itself of AIK (described later in more detail.), Rather than to justify the consistency of the platform, it consistency and PCR platform is derived from a TPM module to prove. AIKに対する認証は、AIKがTPMモジュール内に含まれていることを証明する。 Authentication for AIK demonstrate that AIK is included in the TPM module. したがって、特定の用途に応じて、一致性の値は、一致性自体の確認の後、AIKによる証明を発行するために使用される。 Therefore, depending on the particular application, the value of consistency, after confirmation of the matching itself is used to issue certificates by AIK. 本発明においては、特定の実装形態について説明するが、本発明は説明する実施の形態に限定されることはなく、AIK、TPM、CRTMアーキテクチャを含むいかなる特定の装置実装形態においても実装することができる。 In the present invention, will be described a specific implementation, the present invention is not limited to the embodiments set forth, AIK, TPM, also be implemented in any particular device implementation including the CRTM architecture it can.

1−1. 1-1. トラステッド・ドメイン・モデル(TDM) Trusted domain model (TDM)
図1には、ネットワーク・システム10の例示的な実施の形態を示す。 FIG 1 illustrates an exemplary embodiment of a network system 10. このネットワーク・システムは、LAN、WAN、および/またはインターネットといった適切なネットワーク基盤14サーバ装置(以下、単にサーバとして参照する。)12を含んでいる。 This network system, LAN, WAN, and / or appropriate network infrastructure 14 server device such as the Internet contains a (hereinafter, simply referred to as the server.) 12. クライアント装置(以下、単にクライアントとして参照する。)16は、また、ネットワーク基盤14に接続されていて、クライアントは、サーバ12へとサービスを要求し、サーバ12からその応答を受け取ることができる。 Client device (hereinafter, simply refer to. As a client) 16, also be connected to a network infrastructure 14, the client requests a service to the server 12 may receive a response from the server 12. クライアントとしては、例えば、ワイヤレス通信またはIR通信によりネットワーク基盤14に接続されるPDA、またはノートブック型のパーソナル・コンピュータおよび携帯電話を挙げることができる。 The clients may be, for example, a wireless communication or PDA is connected to a network infrastructure 14 by IR communication or notebook personal computers and mobile phones. 記憶装置18は、サーバ12へと接続されていて、信頼性のあるプロトコルの下でオンデマンドにサービスを提供している。 Storage device 18, which is connected to the server 12 provides a service on demand under a reliable protocol. 後述する説明においては、サーバ12が本発明のトラステッド・プラットホーム・アーキテクチャとして構成されており、かつクライアントは、これまで知られたいかなるアーキテクチャ・タイプとすることができる。 In the explanation described later, the server 12 is configured as a trusted platform architecture of the present invention, and the client may be with any architectural type known heretofore. しかしながら、これに制限されることはなく、クライアントを、また、トラステッド・プラットホーム・アーキテクチャとして構成することもできる。 However, it is not limited thereto, the client, can also be configured as a trusted platform architecture. サーバ12がクライアント16からのリクエストを受け取ると、サーバ12は、サーバ12に格納されたアプリケーションのサービスのため、クライアントに対応するもう一つのドメインを生成する。 When the server 12 receives a request from the client 16, the server 12, for application services stored in the server 12 generates another domain corresponding to the client.

1−2. 1-2. プラットホーム・アーキテクチャ(クライアントおよびサーバ) Platform architecture (client and server)
図2は、本発明によるクライアント16の典型的なハードウェア構成を示した図である。 Figure 2 is a diagram showing a typical hardware configuration of the client 16 according to the present invention. クライアント16は、有線またはワイヤレス接続により、ネットワーク14へと接続することができ、通信デバイス22と、中央処理装置(CPU)24と、メモリ(ROMまたはRAM)26と、ハードディスク・ユニット28とを含んでいる。 Client 16, a wired or wireless connection, can be connected to the network 14, a communication device 22, a central processing unit (CPU) 24, a memory (ROM or RAM) 26, and a hard disk unit 28 They are out.

ハードディスク・ユニット28は、ブート・コード、オペレーティング・システムおよびアプリケーション・ファイルなどを含んでいる。 The hard disk unit 28, the boot code includes an operating system and application files. また、ソフトウェア・モジュールおよびCRTM(BIOS)は、フラッシュメモリなど、適切なメモリ内に格納されており、RAMまたはROMなどへと、リクエストに応じてバスライン32を通じて読み込まれて、ユーザに通常の機能を提供させている。 The software modules and CRTM (BIOS), such as a flash memory, are stored in a suitable memory, and the like RAM or ROM, is loaded through the bus line 32 in accordance with the request, normal function to the user It is made to provide. クライアント16は、署名された一致性チェッカ30を含んでおり、一致性チェッカ30は、ディジタル署名と共に署名されたPCR値を受け取る。 The client 16 includes a signed consistency checker 30, consistency checker 30 receives the signed PCR value with a digital signature. 署名された一致性チェッカ30の機能は、下記のようにまとめることができる。 Functions of the signed agreement checker 30 can be summarized as follows.
参照されたPCR値は、署名された時点でのプラットホームのソフトウェア構成を示す。 Referenced PCR values, showing the software configuration of the platform in the signed time. クライアント16のいずれかに以前に格納されたものとの比較により、PCR値に関連していかなる疑問がある場合には(例えば、署名がなされた時点でウイルスが活性化していた場合など。)、署名された一致性チェッカ30は、署名に伴われたPCR値が、特定のプラットホーム構成における知られた脆弱性であるか否かを判断する(BIOSおよびOS修正、構成ファイル、アンチウィルス定義ファイルなど)。 By comparison with those previously stored in any of the client 16, if there is any doubt with respect to the PCR value (for example, if the virus at the time the signature was made was activated.) signed consistency checker 30, PCR values ​​accompanied by signatures to determine whether a known vulnerability in a particular platform configuration (BIOS and OS modifications, configuration files, anti-virus definition files, etc. ). 格納されたPCR値と最近に受け取ったPCR値との間に正しい対応が見出されない場合には、クライアント16は、サーバとの間のトランザクションを停止させる。 When the correct correspondence between the stored PCR value and the PCR value received recently is not found, the client 16 stops the transaction with the server.

図3は、トラステッド・ドメイン・サービスを提供するために構成されたサーバ12の典型的な構成を示した図である。 Figure 3 is a diagram showing a typical configuration of the server 12 that is configured to provide a trusted domain service. サーバ12は、ルート・トラスト部34を含んで構成されている。 Server 12 is configured to include a root trust unit 34. ルート・トラスト部34は、さらに、TPM36と、スタートまたはリセットのPCR値を格納するレジスタ・アレイ38と、CRTMとを含んでいる。 Root trust unit 34 further includes a TPM 36, a register array 38 for storing the PCR values ​​of the start or reset, and a CRTM. TPM36およびレジスタ・アレイ38は、AIKにより署名された一致性通知(quote)を生成させるための本質的部分であり、これについては後述する。 TPM36 and register array 38 is an essential part for generating a signed conformity notified by AIK (quote), which will be described later. クライアントからのサービスに対する検査リクエストを受け取ると、ルート・トラスト部34は、クライアントに対してAIKにより署名されたPCRsを送り、安全なドメイン・アクセスを提供する。 Upon receiving the test request for service from a client, the root trust unit 34 sends the PCRs signed by AIK to the client, providing a secure domain access.

2. 2. トラステッド・ドメイン機能2−1. Trusted domain function 2-1. プロトコル概要図4は、サーバ12に形成されるトラステッド・ドメインの概略構成を示した図である。 Protocol Overview Figure 4 is a diagram showing the schematic configuration of the trusted domain formed in the server 12. サーバ12は、強制アクセス制御ポリシーでの安全なドメイン・サービスのため、TCPA/TCGシステム40に基づいている。 Server 12, for secure domain services in mandatory access control policy is based on TCPA / TCG system 40. サーバ空間内に形成されるドメインは、管理ドメイン、アプリケーション・ドメインおよびユーザ・ドメインといったドメインである。 Domains formed in the server space, a domain such as the administrative domain, application domain, and a user domain. 管理ドメイン42は、システム管理者44によりアクセスされて、ルート・トラスト部(図示せず)と共に、トラステッド・ドメイン・サービスを管理している。 Management domain 42 is accessed by the system administrator 44, the root trust unit with (not shown) manages the trusted domain service. アプリケーション・ドメイン1(46)、アプリケーション・ドメイン2(48)およびモバイル・ユーザ・ドメイン50は、クライアントに通信された証明の認証の後に生成され、クライアントに対してトラステッド・ドメイン環境を享受することを可能とさせている。 Application domain 1 (46), the application domain 2 (48) and mobile user domain 50 is generated after the authentication of the certificate that is communicated to the client, to enjoy the trusted domain environment the client and consider it as possible. ドメインはそれぞれ、適切な記憶装置52に格納された秘密データおよび/またはポリシーを伴っていて、ユーザのプライバシー・ポリシーを保護している。 Each domain, have with the appropriate private data and / or policies in the storage device 52 is stored, to protect the user's privacy policy. サーバは、安全なオペレーティング・システム(しばしば、トラステッド・コンピューティング・ベース、すなわちTCBとして参照される。)により制御されているので、システム全般にわたる強制アクセス制御ポリシーの適応を向上させている。 Server, a secure operating system because it is controlled by (often, the trusted computing base, i.e.., Referred to as TCB), thereby improving the adaptation of mandatory access control policy system-wide. 各ドメインは、それ自体個別的なアクセス制御ポリシーを有している。 Each domain has its own discrete access control policies.

TCBは、信頼性を有し、かつ完全に認証されている必要があるが、TCBにおいてまったく脆弱性が見出されないと仮定することは現実的ではない。 TCB has reliability, and it completely is required to be authenticated, it is not realistic to assume that all not found vulnerability in TCB. 本発明は、いかなるセキュリティ上の問題がある場合にでもTCBをアップデートする方法を提供する。 The present invention provides a method to update the TCB even if there are problems on any security. これは、必要に応じてTCBを変更することができる管理者エンティティが存在することを意味する。 This means that there is administrative entity capable of changing the TCB as needed. これは、サーバまたはクライアント(必要に応じて)が、TCBをアップデートする新規な機能を有することを必要とするが、この管理者エンティティの機構は、すべてのセキュリティ上の仮定を壊してしまうのできわめて慎重に取り扱うことなる。 Very This (if necessary) the server or client, it needs to have a new function to update the TCB, mechanism of the administrative entity, so destroy the assumption of all security carefully made that deal.

上述した目的に対応するために、本発明では、管理ドメイン42として参照される特別のドメインを導入する。 To address the above-mentioned object, the present invention introduces a special domain, referred to as the management domain 42. この管理ドメイン42は、(1)クライアントからの要求に応じてアプリケーション・ドメインの生成および消去を可能とし、(2)強制アクセス制御ポリシーを含むTCBのアップデートを可能とする。 The administrative domain 42 may enable the generation and erasure of application domains in response to a request from (1) the client, to enable TCB updates including (2) Mandatory Access Control policies. 管理ドメインは、強制アクセス制御ポリシーの変更を可能とされているので、管理ドメインの悪意ある所有者が強制アクセス制御ポリシーを迂回してしまうことを防止する必要がある。 Administrative domain, since it is possible to change the mandatory access control policies, it is necessary to prevent the owner malicious administrative domain will bypass the mandatory access control policies. このような攻撃を防止するため、その時点で実行されているドメイン・インスタンスは、そのすべての実行ステータスが、強制アクセス制御ポリシーが変更される前に暗号化された形式で第2の記憶装置54へと保存される。 To prevent such attacks, the domain instances running at that time, all of the execution status, the second storage device in an encrypted form before mandatory access control policy is changed 54 It is saved to. 変更の後、プラットホーム全体がリセットされる。 After modifications, the entire platform is reset. サーバのリブート後、PCRは、TCBの新たな構成を反映した新たな値を含んでいる。 After rebooting the server, PCR contains a new value that reflects the new structure of the TCB. それぞれのドメイン所有者は、ドメインのインスタンス化を実行させて、新たなシステム構成が信頼できるものであるか否かを確認する。 Each domain owner, by running an instance of the domain, to confirm whether or not the new system configuration can be trusted. 信頼できる場合にだけ、ドメイン所有者は、ドメイン・シークレットの使用に対する権限が与えられる。 Only if reliable, domain owner, authority is given to the use of the domain secret.

管理ドメイン42は、(1)TCBが信頼できる状態ではない場合(例えば、ドメイン・インスタンスが実行されていない場合または電力が切断されている場合)に、ドメイン・シークレットが後述するセクションで説明するように、TCPAにより保護されていること、および(2)TCBがリカバリの後に信頼できる状態とされ、ドメイン・インスタンスが実行されて強制アクセス制御ポリシーにより保護されている場合には、いかなる時点でも他のドメインのドメイン・シークレットにアクセスすることができないことに留意するべきである。 Management domain 42 (1) If the TCB is not a reliable state (e.g., when the case or power domain instance is not running has been cut), the so described in the section domain secret later in, that it is protected by TCPA, and (2) TCB is ready for reliable after recovery, when it is protected by the mandatory access control policy domain instance is running, at any time other it should be noted that you can not have access to the domain secret of the domain. 管理ドメインは、別のドメインの私的データには、ドメイン所有者による特別の許可がなければアクセスすることができない。 Management domain, the private data of another domain, can not be accessed if there is no special permission of the domain owner. この点では、管理ドメインは、Unix(登録商標)のスーパー・ユーザとは異なるものである。 In this regard, management domain is different from the super-user of Unix (registered trademark).

本発明のサーバは、複数のアプリケーションの実行ホストとされる。 Server of the present invention, are executed host multiple applications. 各アプリケーションは、プラットホームの保護された実行環境下、すなわちドメインで実行されている。 Each application protected execution environment of the platform, i.e., running in a domain. 本明細書においては、ドメインは、そのドメイン所有者に帰属されるものと仮定する。 As used herein, domain is assumed to be attributable to the domain owner. ドメイン所有者は、ドメインのセキュリティ・ポリシーを決定するリモート・クライアントである。 Domain owner is a remote client to determine the security policy of the domain. グリッド・コンピューティングでは、ドメイン所有者は、グリッド・コンピューティング・サービスのユーザとなる。 In grid computing, domain owner, the user of the grid computing service. 複数のアプリケーションが実行されているモバイル・プラットホームの場合には、ドメイン所有者は、クライアントおよび/またはモバイル・プラットホームまたはクライアントにアプリケーションおよびデータを送るリモート・サービス・プロバイダ(例えばe−チケット・サービス)となる。 When the mobile platform in which a plurality of applications are running, the domain owner, the remote service provider to send the application and data to the client and / or mobile platform or client (e.g. e- Ticket Service) Become.

本発明の管理機能では、非システムプログラムごとにドメイン内において実行される。 The management function of the present invention, is performed for each non-system program in a domain. ドメインは、サーバ、すなわちプラットホーム上の他のドメインから、データおよび実行を保護する。 Domain server, that is, from other domains on the platform to protect the data and execution. クライアント(ドメイン所有者)がそのドメインがそのリソースのいくつかを他のドメインと共用することができることを決定する場合には、適切なアクセス制御ポリシーを設定することにより、クライアントが制御することができる。 If the client (domain owner) determines that it is possible that domain to share some of its resources with other domains, by setting the appropriate access control policies, the client can be controlled .

本発明においては、2つのレベルのアクセス制御ポリシーが、実装される。 In the present invention, two levels of access control policies are implemented. すなわち、 That is,
(1)サーバ8プラットホーム)のすべてのドメインにわたってシステム上の運用を行う、強制アクセス制御ポリシー、および(2)各ドメイン所有者、すなわちクライアントにより制御される任意アクセス制御ポリシーである。 (1) performing the operation of the system across all domains server 8 platforms), mandatory access control policies, and (2) the domain owner, that is, any access control policy that is controlled by the client.

強制アクセス制御ポリシーは、ドメインにおいて実行されているアプリケーションがセキュリティの脆弱性を有している場合であっても、重要なリソース(暗号鍵など)を強力に保護する。 Mandatory access control policy, the application even if it has security vulnerabilities, strongly protect critical resources (such as encryption keys) that are executed in the domain. 他方では、任意アクセス制御ポリシーは、所望に応じたアプリケーション間のデータの柔軟な交換を可能とする。 On the other hand, any access control policy allows for flexible exchange of data between applications as desired.

2レベルのアクセス制御にしたがい、ドメインは、2種類の保護データを有する。 According 2-level access control, domain has two types of protected data. ドメイン・シークレットは、TPMのハードウェアにより保護され、強制アクセス制御ポリシーによる保護の対象とされるデータである。 Domain secret is protected by the TPM hardware, a data that is subject to protection by the mandatory access control policies. 暗号鍵は、ハードディスク・ドライブのドメイン・データを暗号化するために使用され、ドメイン・シークレットの例である。 Encryption key is used to encrypt the domain data on the hard disk drive, an example of a domain secret. 他方、ドメイン私有データは、個別ポリシーの対象とされ、ドメインの任意アクセス制御ポリシーが許可する場合には、他のアプリケーションにより共用することができる。 On the other hand, the domain private data is subject to the individual policy, if allowed by the discretionary access control policies of the domain can be shared by other applications. モバイル・デバイスの場合には、ユーザのアドレス・ブックは、多数のアプリケーションにより共用されるドメイン・プライベート・データとなる。 If the mobile device user's address book is a domain private data shared by multiple applications.

クライアントのタイプに依存し、異なるタイプのドメインが存在する。 Depending on the type of client, there are different types of domains. 通常のアプリケーションは、アプリケーション・サービス・プロバイダにより提供され、アプリケーション・ドメイン内において実行される。 The typical application is provided by an application service provider, executed in the application domain. 管理ドメイン42は、管理タスクを実行させる本質的な部分である。 Management domain 42 is an essential part to perform administrative tasks. すべての他のドメインは、ドメイン所有者により所有される。 All other domains are owned by the domain owner. ユーザが所有するすべてのデータおよびプログラムは、ユーザ・ドメイン内に置かれ、プライベート・データを保証している。 All data and programs that a user owns is placed in the user domain, guarantees the private data.

管理ドメインは、クライアントすなわちドメイン・ユーザからの要求を受け取るとドメインの生成および削除を実行する。 Management domain executes receiving the generation and deletion of domain a request from a client i.e. the domain user. 図5は、クライアントとサーバの間においてクライアントに対する新たなドメインが生成されるまでの処理を示した図である。 Figure 5 is a diagram illustrating a process until a new domain is created for the client between the client and the server. 図5に示されるように、ステップS500においてクライアントは、サーバへと認証要求を送る。 As shown in FIG. 5, the client in step S500, sends an authentication request to the server. ステップS510において、サーバはこのリクエストを受け取り、サーバは、クライアントへと検証(TCG検証)の結果を署名付き一致性値として送る。 In step S510, the server receives the request, the server sends to the client the result of the verification (TCG verification) as signed integrity values.

ステップS520では、クライアントは、署名付き一致性値を受け取り、検証の結果が署名および/またはPCR値に依存して許容されるか否かを決定する。 In step S520, the client receives the signed integrity values ​​to determine if the result of the verification is acceptable depending on the sign and / or PCR values. 検証の結果がネガティブである場合には、ステップS530において、さらなるトランザクションが停止される。 If the result of the verification is negative, in step S530, a further transaction is stopped. 検証の結果がポジティブである場合には、処理は、ステップS540へと進み、クライアントは、サーバへとドメイン生成のためのリクエストを送る(以下、説明の便宜のため、c−リクエストとして参照する)。 If the result of the verification is positive, the process proceeds to step S540, the client, to the server sends a request for domain generation (hereinafter, for convenience of explanation, referred to as c- request) . サーバがc−リクエストを受け取ると、サーバは、対応するクライアントのための新規なドメインを生成すると共に、ステップS550において固有のドメインidを割り当て、c−リクエストを送ったクライアントが新規なドメインを排他的に支配できるようにさせる。 When the server receives a c- request, the server generates the new domain for the corresponding client allocates a unique domain id in step S550, an exclusive client a new domain that sent the c- request make so that it can be dominated.

図6は、クライアントに対してドメインを認証させ、割り当てるために使用される例示的なデータ構造を示す。 6, to authenticate the domain to the client, it shows an exemplary data structure used to assign. 図6に示されるデータ構造は、例えば、図4に示した認証リスト内に格納させておくことができるが、これに限られるものではなく、このデータ構造は、サーバのドメインの割り当てを制御するために、クライアント16内のいずれかに格納させておくことができる。 Data structure shown in FIG. 6, for example, may be allowed to store in the authentication list shown in FIG. 4, not limited to this, the data structure controls the allocation of server domain for, it is possible to have so stored either in the client 16. サーバが、クライアントからリクエストを受け取ると、サーバは、クライアントに対して、一致性値と共にAIK(秘密鍵)による署名をクライアントに送る。 When the server receives a request from a client, the server, the client sends a signature by AIK (secret key) to the client with integrity values. AIKの公開鍵部分は信頼される第3者により署名され、認証された証明は、サーバ内のいずれかに予め格納されているか、または、遠隔した第3者から得ることもできる。 Public key portion of the AIK is signed by a third party that is trusted, authenticated certificate is either stored in advance in one of the server, or may be obtained from a third party who remotely.

図6に示す表は、サーバidと、証明値と、PCR値とドメインidとが行としてリストされている。 Table shown in FIG. 6, a server id, and the proof value, the PCR value and the domain id is listed as rows. PCR値は、本発明における証明のために本質的な一致性を示す値であり、サーバといったプラットホームの構成により固有的に決定される。 PCR value is a value indicating the essential consistency for proof in the present invention are determined inherently by the configuration of the platform, such as server. このように構成により固有に決定される一致性の値(PCR)は、単一の値として使用することもできるし、一致性の値のセットとして使用することもできる。 Thus consistency value determined uniquely by the configuration (PCR) can either be used as a single value, it can be used as a set of matching values. PCR値の生成の詳細については、より詳細に後述する。 For more information on generating PCR values ​​will be described later in more detail. クライアント16は、図6に示したアロケーション・テーブルにしたがい、トラステッド・ドメイン・サービスを享受することができる。 The client 16, in accordance with the allocation table shown in FIG. 6, it is possible to receive the trusted domain service.

図7は、一致性値(PCR)を生成するための処理を示した図である。 Figure 7 is a diagram illustrating a process for generating integrity values ​​(PCR). 図7において、TPM、CPUにおける処理および格納されたコードの呼び出し処理を説明している。 7 describes TPM, the call processing of the processing and the stored code in CPU. サーバがスタート、またはリセットされた場合、TPM内のPCRレジスタは、ステップS710においてクリアされる。 If a server is started or reset,, PCR registers in the TPM is cleared in step S710. ステップS720において、サーバは、CRTMコード(BIOS)を他のメモリへと、ROMまたはフラッシュメモリから呼び出し、CRTMコードを実行させ、ステップS740でCRTMコードのハッシュ値をPCRレジスタのいずれかに格納させ、さらにステップS730において次の実行コードを呼び出す。 In step S720, the server, the CRTM code of (BIOS) to another memory, call from ROM or flash memory, to execute the CRTM code, the hash value of CRTM code is stored in one of the PCR register at step S740, further call the following execution code at step S730. ステップS730において次のコードを呼び出す前に、計算されたPCR値は、ステップS750においてさらに他のレジスタへと格納される。 Before calling the next code in step S730, the calculated PCR value is stored into yet another register in step S750. PCR値は、ステップS760〜S790において説明するように、セットアップ処理における必要なコードのすべてが完了するまで拡張されてゆく。 PCR values, as described in step S760~S790, Yuku is extended to all of the code required in the setup process is complete.

PCRの値は、初期セットアップのコードの一致性を示し、書き込まれたPCR値は、サーバがシャットダウンまたはリセットの後、再度起動されるまで、他の任意の値に変更することができない。 The value of the PCR indicates the consistency of the initial setup code, is written PCR value, after the server is shut down or reset, until activated again, it can not be changed to any other values. このため、PCR値は、サーバの一致性を確証する。 Therefore, PCR value, confirms the consistency of the server. 本発明が、クライアント装置に適用された場合、同一の検査処理がクライアント内で進行し、ネットワーク内のセキュリティは、より向上される。 The present invention, when applied to the client device, the same inspection process proceeds in the client, the security in the network are improved. これらの実施の形態においては、クライアントは、クライアント構成に適合するTPMモジュールまたはチップを含んでいる。 In these embodiments, the client includes a compatible TPM module or chip on the client configuration.

図8は、サーバおよびクライアント(クライアントがそのように実装されている場合)が、クライアントへとトラステッド・ドメイン・アクセスを可能とするTPMの機能を示す。 8, the server and the client (if the client is implemented as such) is a functional of the TPM to the client enables the trusted domain access. TPMは、TPM_CreateEndosementKeyPair、TPM_MakeIdentityおよびTPM_Quoteを実行する。 The TPM, TPM_CreateEndosementKeyPair, to run the TPM_MakeIdentity and TPM_Quote. TPM_CreateEndosementKeyPairは、テップS810において、私有鍵および公開鍵とを使用する知られた技術に基づいてエンドーズメント鍵を生成する。 TPM_CreateEndosementKeyPair, at step S810, generates a endosement keys based on known techniques of using a private key and a public key. エンドーズメント鍵が生成されると、責任ある製造者のディジタル署名が、ステップS820においてエンドーズメント鍵に付される。 When endosement key is generated, the digital signature of a responsible manufacturer, is subjected to endosement key in step S820. このエンドーズメント鍵は、TPMの信頼性を保証する。 This endosement key is to ensure the reliability of the TPM. また、一致性値であるPCRのためのディジタル署名を与えるために使用されるAIKは、ステップS830において、TPM_MakeIdentity処理で生成され、AIKは、また、私有鍵と公開鍵とを含んでいる。 Also, AIK used to provide a digital signature for the PCR is a consistency value in step S830, generated by TPM_MakeIdentity process, AIK also includes a public key and private key. AIK公開鍵は信頼できる第3者により証明され、このAIK証明書とともに、AIKは、ステップS840でPCRsに付されるディジタル署名として使用される。 AIK public key is verified by a third party trusted, with the AIK certificate, AIK is used as a digital signature appended to the PCRs in step S840.

コードTPM_Quoteは、図5に示した遠隔したクライアントへと送付される署名付き一致性値(TCG検証)を生成する。 Code TPM_Quote generates the signed integrity values ​​to be sent to a remote the client shown in FIG. 5 (TCG verification). TPM_Quoteは、ステップS860において、PCRsから呼び出しを実行し、AIKによる、署名付きPCRsを生成する。 TPM_Quote in step S860, and executes the call from the PCRs, by AIK, to produce a signed PCRs. コードTPM_Quoteは、ついで図8に示すように、リクエストされたように署名付きPCRsを遠隔したクライアントへとネットワークを通して送り、クライアントがPCR検査処理を実行することができるようにさせる。 Code TPM_Quote is then as shown in FIG. 8, the feed to the client that remotely signed PCRs as requested through the network makes it so that the client can perform a PCR test process.

2−2. 2-2. 一致性の検査を伴う署名 上述したように、一致性の検査の結果は、TPM内のPCRsに格納され、quote機能により報告される。 Signature as described above with the consistency test, the result of coincidence of the test is stored in PCRs in the TPM, as reported by the quote function. 実際に、Quote機能のこのような使用は、サーバーに対する使用に限定するものではない。 In fact, such use of the Quote function is not limited to use on the server. プラットホームの一致性尺度の使用の1つの方法は、ディジタル署名中にこの尺度を含ませることである。 One method of use of the matching measure platform is to include this measure in the digital signature. 上記機能をプラットホームに実装するために、本発明者らは、PCR値へと署名を付する機能を含む、XML署名機能のための署名アルゴリズムを採用した。 To implement the above functions to the platform, the present inventors includes a function to subject the signatures to PCR values ​​were adopted signature algorithm for XML signature function.

2−3. 2-3. 署名機能部(署名アルゴリズムの実行により実装される) Signature function unit (implemented by the execution of the signature algorithm)
本発明者らは、新規な署名アルゴリズムを、その時点でのPCR値(quoteInfo)を示す構造とその構造への署名値との連結(concatenation)として、下記のように規定した。 The present inventors, a novel signature algorithm, as the coupling (concatenation) of the signature value of the structure shown PCR value at that point (quoteInfo) into its structure was defined as follows.
SignatureValue = quoteInfo | SignatureOnQuoteInfo SignatureValue = quoteInfo | SignatureOnQuoteInfo
ここで、署名値の第1の部分(qoteInfo)は、TCPA_QUOTE_INFOにより規定される48バイトデータ・オブジェクトであり、下記のように規定される。 Here, the first part of the signature value (qoteInfo) is a 48-byte data objects defined by TCPA_QUOTE_INFO, is defined as follows.
typedef struct tdTCPA_QUOTE_INFO{ typedef struct tdTCPA_QUOTE_INFO {
BYTE fixed; BYTE fixed;
TCPA_NONCE externalData, TCPA_NONCE externalData,
上記コード中、versionは、TCPAのバージョンを意味し、TCPA1.1bのセクション4.5において規定されている。 In the above code, version refers to the version of the TCPA, is defined in Section 4.5 of TCPA1.1B. 特に、第1の2つのオクテットは、0x01および0x01とされる。 In particular, the first two octets are the 0x01 and 0x01. “fixed”は、常にASCIIストリングの“Quote”である。 "Fixed" is always the ASCII string "Quote". “digestValue”は、要求されたPCR指標の現在値を使用する複合hashアルゴリズムの結果である。 "DigestValue" is the result of complex hash algorithm using the current values ​​of the requested PCR index. “externalData”は、<SignedInfo>のカノニカル化の20バイト(オクテット)ストリームのSHA-1hashである。 "ExternalData" is a SHA-1hash of 20 bytes (octets) stream of canonical of the <SignedInfo>.

署名値の第2の部分は、TCPA_QOATE_INFOデータ構造上のRSASSA-PKCS1-v1.5署名値である。 Second part of the signature value is RSASSA-PKCS1-v1.5 signature value on TCPA_QOATE_INFO data structure. この部分は、検査鍵が少なくとも2048ビットを有するので、少なくとも256バイト長である。 This portion, since test key has at least 2048 bits, at least 256 bytes long.

2−4. 2-4. 証明アルゴリズム 説明する特定の実施の形態では、TCPAによるPCR値のXML署名の証明アプリケーションには、ベース64デコードされた<SingatureValue>を2つの部分へと分ける必要が生じる。 In certain embodiments of proving algorithm description, the PCR value of an XML signature certificate application by TCPA, the base 64 has been decoded the <SingatureValue> it is necessary to divide into two parts. 第1の部分は、オクテット・ストリングの第1の48バイトであり、第2の部分は、その残りである。 The first portion is a first 48 byte octet string, the second portion is the remainder. 証明アプリケーションは、下記の事項を証明する。 Certification application, to prove the following matters.

第1の部分は、正規なTCPA_QUOTE_INFOの構造である。 The first part is the structure of the authorized TCPA_QUOTE_INFO. これは、バージョン・フィールドの第1の2つのオクテットが0x01および0x01でなければならず、かつ固定されたフィールドがASCIIの“QUOTE”でなければならないことを意味する。 This means that must be first two octets 0x01 and 0x01 of the version field, and the fixed fields must be ASCII for "QUOTE".

第1の部分のexternalDataは、カノニカル化された<SingalInfo>のSHA-1hash値である。 externalData the first part is the SHA-1hash value of the canonicalize <SingalInfo>.

第2の部分は、所与の公開鍵にしたがった第1の部分のRSASSA-PKCS1-v1.5署名となる。 The second part is a RSASSA-PKCS1-v1.5 signature of the first part in accordance with the given public key.

証明アプリケーションは、その後、TCPA_QUATE_INFO構造内のPCR値(digestValueフィールド)を、知られた信頼性値に対して証明する。 Proof applications, then, demonstrate PCR value in TCPA_QUATE_INFO structure (digestValue field), with respect to known reliability value. この値が信頼できると判断された場合には、サーバは、信頼すべきプラットホームと通信していると、結論することができる。 If it is determined that this value is reliable, the server and in communication with authoritative platform, it can be concluded. それ以外には、サーバは、ポリシーにしたがって、要求を排除する。 Other than that, the server, according to the policy, to eliminate the request.

2−5. 2-5. JCEにおけるPCR付き署名の実装 本発明においては、上述の署名処理が新規な署名アルゴリズム(SHA1withRSATcpaとして参照する)としてJava(登録商標)暗号環境(JCE)プロバイダ(サーバ)に実装された。 In the implementation the present invention of PCR signed in JCE, implemented as signature processing new signature algorithm described above (referred to as SHA1withRSATcpa) to Java (registered trademark) encryption Environment (JCE) provider (server). この方法では、アプリケーションは、PCR値と共に署名を使用するべく変更する必要はない。 In this way, the application does not need to be changed in order to use the signature with PCR values.

3. 3. ドメイン・インスタンスの生成および削除 図9は、クライアントからのリクエストを受け取った場合に新規なドメインの生成を示した図である。 Generation and deletion of a domain instance 9 is a diagram illustrating the generation of a new domain if it receives a request from a client. サーバが、リクエストを受け取ると、サーバの認証部または通信部といった適切な部分は、リクエストを解析してAIK証明書および署名付きPCRを取得する。 When the server receives a request, appropriate parts such as authentication portion or the communication unit of the server acquires the AIK certificate and the signed PCR analyzes the request. 認証部は、認証リストまたはテーブルをルックアップして、受け取ったリクエストがサーバへのアクセスを許可されるかを判断する。 Authentication unit looks up the authentication list or table, requests received to determine whether is allowed access to the server. サーバは、ルックアップの結果を含むレスポンス・パケットを返す。 Server returns a response packet that contains the results of the look-up. ついで、クライアントは、図5のステップS530の認証に依存して、新規ドメイン生成のためのc−リクエストを送り、図9に示すように、クライアントのためのアプリケーション・ドメイン1(46)といった、排他的な新規ドメインを生成する。 Then, the client, depending on the authentication of step S530 in FIG. 5, sends a c- request for the new domain generation, as shown in FIG. 9, and application domain 1 (46) for the client, exclusive to generate a specific new domain.

クライアントがサーバ上に新規なドメイン・インスタンスを生成する場合には、プラットホームが依然として信頼できることを確認することが重要である。 If the client to generate a new domain instance on the server, it is important to make sure that the platform is still reliable. この信頼性は、トラスト層から得られ、このトラスト層は、プラットホームの同一性および一致性の認証を与える。 This reliability is obtained from a trust layer, this trust layer provides authentication of identity and consistency of the platform. 図5に示されるように、クライアントはまず、ドメインのインスタンス化前に、図5に示すTCG検査の結果と共に送信されるPCR値を使用してサーバの同一性と一致性とを認証する。 As shown in FIG. 5, the client first, before instantiation of domains, it authenticates the consistency and identity of the server using the PCR value sent with the results of the TCG test shown in FIG. クライアントがソフトウェア・スタックのバージョンおよび強制アクセス制御ポリシーの内容に満足するまで、クライアントは、それ以上処理を進ませない。 Until the client is satisfied with the version and the contents of the mandatory access control policy of the software stack, the client is not allowed to proceed any further processing.

このドメイン・インスタンス化プロトコルは、また、相互認証プロトコルであり、プラットホームは、ドメイン所有者の同一性を認証することができる。 This domain instantiation protocol is also a mutual authentication protocol, the platform may authenticate the identity of the domain owner. いかなる信頼性あるプラットホームであっても、所有者の同一性が認証される前にはドメイン・シークレットの使用権限を与えられない。 Even platform any reliable, not given permission to use domain secret before the identity of the owner is authenticated. 一度、ドメイン所有者が同一性および一致性に満足し、プラットホームがクライアントの同一性に満足すると、クライアントは、通常、認証プロトコル(オブジェクト特有の認証プロトコル、またはオブジェクトと独立した認証プロトコル)のうちの1つを実行し、クライアントによる、暗号化鍵(ルート鍵)を含むドメイン・シークレットの使用が可能となる。 Once the domain owner is satisfied with the identity and consistency, when the platform is satisfied with the identity of the client, the client is usually authentication protocol of the (object-specific authentication protocol or objects with independent authentication protocols) one run, by the client, it is possible to use the domain secret including an encryption key (root key). ドメインが、第2の記憶装置に格納された持続性データを有する場合、プラットホームのTCBは、この暗号化鍵を使用して暗号化された外部データをインポートする。 Domain, if having a persistent data stored in the second storage device, the platform of the TCB, to import the external data encrypted using this encryption key.

ドメイン・インスタンスにおけるプログラムの実行が終了した後、ドメイン・インスタンスは、図5に示すように消去される。 After the execution of the program in the domain instance is complete, the domain instance is erased as shown in FIG. ここで、メモリ内容およびシステム上の一時ファイルのすべてが消去される。 Here, all temporary files on the memory contents and system are erased.

図10は、クライアントとサーバとの間で新規ドメインをインスタンス化させるための処理を示す。 Figure 10 shows a process to instantiate a new domain between the client and the server. 図10に示す処理は、ステップS1010およびステップS1020においてクライアントとサーバとの間の認証プロトコルが完了する。 The process shown in FIG. 10, the authentication protocol between the client and the server in step S1010 and step S1020 is completed. 認証プロトコルが成功裏に完了する場合には、次に、クライアントは、ステップS1030において、TCG/OIAPプロトコルでサーバへと、ドメイン・スタート・リクエスト(c−リクエスト)を送信する。 If the authentication protocol has been completed successfully, the next client in step S1030, transmits to the server TCG / OIAP protocol, domain start request (c- request). サーバは、c−リクエストを受け取り、ステップS1040においてクライアントのために新規なイネーブル・ドメインを生成する。 The server receives the c- request, generates a new privileged domain for the client at step S1040. その後、ステップS1050において、ドメイン・インスタンスが生成される。 Thereafter, in step S1050, the domain instance is created.
インスタンス化されたドメインおよびクライアントは、ステップS1060において、登録されたジョブおよび対応する結果のトランザクションを通信する。 Domain and client that is instantiated in step S1060, communicating transactions registered jobs and corresponding results. クライアントがその目的とする結果を取得した場合には、クライアントは、ステップS1070において、TCG/OIAPによりサーバへとドメイン離脱リクエストを送信する。 When the client obtains the result is an object of the present invention, the client, in step S1070, it transmits a domain leave request to the server by TCG / OIAP. サーバは、ステップS1080においてドメイン離脱リクエストを受け取り、対応するドメインの終了を指令する。 Server receives a domain leave request in step S1080, instructs the termination of the corresponding domain. サーバは、さらに、クライアントに対して、ドメイン閉鎖の通知を送り、本発明のプロトコルを完了させる。 Server further the client sends a notification domain closed to complete the protocol of the present invention.

ドメイン・インスタンスが存在しなくなると、持続性記憶装置に格納されたドメインの私有データはすべて、ドメイン鍵により暗号化される。 When a domain instance does not exist, all the private data stored in the persistent storage domain is encrypted by the domain key. したがって、ドメイン・インスタンスが存在しない場合には、ドメインの私有データには、何人もアクセスすることができない。 Therefore, if the domain instance does not exist, the private data of the domain, it is not possible to access any person. ドメイン・インスタンスが存在する場合には、システムは、ドメイン所有者は、インスタンス化の時点でTCBの一致性がチェックされているので、システムは安全である。 When the domain instance exists, the system domain owner, since consistency of the TCB is checked at the time of instantiation, the system is safe. したがって、ドメイン所有者は、TCBによりドメイン私有データが適切に保護されていることがわかる。 Therefore, the domain owner, it can be seen that the domain private data is properly protected by the TCB.

4. 4. TCG保護記憶階層でのドメイン・シークレットの保護 図11は、各ドメインの本質的なデータ保護を示した図である。 Protection Domain Secret with TCG protective storage hierarchy 11 is a diagram showing the essential data protection for each domain. プラットホームがシャットダウンされた場合や信頼性のある状態ではない場合、ドメイン・シークレットは、安全に保護される必要がある。 If the platform is not in the state or if a reliable been shut down, the domain secret has to be safely protected. これは、TCG保護記憶階層を使用して行われる。 This is done using the TCG protective storage hierarchy. 図11に示すように、TCGの保護する対象は、木構造として組織化されている。 As shown in FIG. 11, the object to be protected of the TCG is organized as a tree structure. ルート・ノードは、記憶ルート鍵(SRK)として参照され、TPM内に持続的に格納された唯一の鍵である。 The root node is referred to as a storage root key (SRK), it is the only key that is persistently stored in the TPM. TPMは、廉価なデバイスとして構成され、かつ制限された内部メモリを有しており、他のすべての鍵は、使用されない場合にはそれらの親鍵により暗号化されてTPMの外に保持されている。 TPM is configured as inexpensive devices, and has a limited internal memory, all other keys, if not used is encrypted by their master key is held outside the TPM there. 鍵を使用する場合には、それらの親鍵のすべては、TPM内にすでに読み込まれていなければならない。 If you use the key is, all of them the master key, it must have already been read into the TPM. 本発明においては、各ドメインは、SRKの下の副木に割り当てられている。 In the present invention, each domain is assigned to splint under SRK. この副木は、ドメインのドメイン・シークレットを保持している。 This splint holds the domain secret of the domain. このことは、ドメイン・シークレットがTPMへと副木がロードされるために副木のルート鍵が使用できない限り、使用できないことを意味する。 This means that, as long as the root key of the splint can not be used for domain-secret splint is loaded into the TPM, which means that it can not be used.

各鍵には、その認証のためのシークレットが伴われており、これは、160ビットのデータである。 Each key, secret have been accompanied for the authentication, which is a 160-bit data. TPMは、鍵が使用される場合に、このシークレットの所有証明を必要とする。 TPM is, if the key is used, which requires the ownership proof of this secret. 本発明の実施の形態では、ドメイン所有者がプラットホームにログインする場合には、ドメイン所有者は、それらの鍵の認証シークレットを知っていることを証明する。 In the embodiment of the present invention, the domain owner when logging into the platform, the domain owner to prove that it knows the authentication secret those keys. TCGのオブジェクト特定認証プロトコル(OSAP)を使用して、TCBに対してもシークレットを開示すること無く、これが達成される。 Use TCG object specific authentication protocol (OSAP), without disclosing secret even to TCB, it is achieved.

図12は、本発明によるドメイン・シークレット・データの保護の処理を示す。 Figure 12 shows a process domain secret data protected according to the present invention. 保護処理は、まず、ステップS1210〜S1240において新規なドメインを生成させる。 Protection process, first, to produce a new domain in step S1210~S1240. その後、ステップS1250へと進んで、認証処理の完了の後ルート鍵を取得する。 Thereafter, the routine proceeds to step S1250, acquires the root key after the completion of the authentication process. 許可されたドメインでは、生成されたドメインに必要な暗号化された形式でのシークレット・データは、ドメインへと適切な記憶領域から呼び出され、ステップS1260においてルート鍵による復号後、要求されたジョブへと提供される。 The authorized domain secret data in encrypted form required to generate domain is called from the appropriate storage area to a domain, decoded by the root key in step S 1260, the requested job It is provided with. 復号されたシークレット・データ必要に応じて、再度、予め規定された処理により、暗号化され、ステップS1270において管理ドメインにより管理される適切な記憶領域に格納され、その後、ドメインのインスタンスが削除されて、クライアントとサーバとの間のトランザクションが、ステップS1280〜S1290において完了する。 If necessary decoded secret data again, the predefined processed, encrypted, stored in a suitable storage area managed by the management domain in step S 1270, then an instance of the domain is deleted , transactions between the client and the server completes at step S1280~S1290.

5. 5. ドメイン分離の改善 ドメイン分離およびアクセス制御ポリシーを向上させることは、実際の実装においては多くの異なる方法において実現することができる。 Improving the improved domain separation and access control policy for a domain isolation, in actual implementations may be implemented in many different ways. 例えば、Unix(登録商標)アクセス制御およびJava(登録商標)のJAASは、あるレベルの保護を提供するソフトウェア・ベースの技術である。 For example, JAAS of Unix (registered trademark) access control and Java (registered trademark) is a software-based technology that provides protection certain level. WebSphereといったミドルウェアは、アプリケーションレベルにおける付加的な分離を提供する。 Middleware such WebSphere provides additional isolation at the application level. しかしながら、アプリケーションがより強力な保護を必要とする場合には、我々は、より強力なドメイン分離機構を必要とする。 However, if the application requires more protection, we require stronger domain separation mechanism. これは、COTS(Commercially Off-The-Shelf)ソフトウェアとして知られているオペレーティング・システムおよびミドルウェアは、専門家による注意深い検査の後にも多くのセキュリティ・バグを有している傾向にあることが知られている。 This is, COTS (Commercially Off-The-Shelf) operating system and middleware known as the software is, it is known that there is a tendency to have a lot of security bugs even after careful examination by experts ing. この問題に対応するために、2つのアプローチが存在するものと考えられる。 To address this problem, it is considered that two approaches exist.

1つは、きわめて小さな、かつ完全に検査され信頼性のあるソフトウェアを組み合わせたハードウェア・サポートを使用することである。 One is to use a very small, and is fully inspected hardware support that combines reliable software. 例えば、最新のハイエンド・プロセッサは、本来のカーネル・モードよりも高い、付加的な特権レベルを有している。 For example, the latest high-end processor, has higher than the original kernel mode, the additional privilege level. 信頼性のあるマイクロ・カーネルまたはこのモードにおいて実行されるハイパーバイザは、ドメイン間におけるきわめて安全な分離を提供することができる。 Hypervisor performed in a reliable micro-kernel or this mode can provide a very safe separation between domains. このようなハイパーバイザは、最小のコードのみを含み、したがって、残された脆弱性もより少ない。 Such hypervisor includes only minimal code, therefore, remaining vulnerabilities less.

6. 6. 実装の変更例 これ以外のアプローチは、良好な技術および証明(Common Criteria Certification)を使用するか、またはオペレーティング・システムのカーネルにさらなる保護を追加するかにより、既存のオペレーティング・システムを頑健化することである。 Modifications other approaches implementation, good technical and certification (Common Criteria Certification) should be used, or by either adding additional protection to the operating system kernel, to robust the existing operating system it is. トラステッド・ドメイン・モデルのアーキテクチャは、要求されたセキュリティ・レベルに応じて上述したアプローチのいずれも可能とする。 Architecture trusted domain model allows any of the approaches described above according to the required security level.

本発明のトラステッド・ドメイン・アーキテクチャは、既存の技術に適切に実装することができる。 Trusted Domain architecture of the present invention can be suitably implemented in existing technology. このセクションでは、本発明者らは、TPMチップおよびLinuxセキュリティ・モジュールを含むPCに基づく構成を示す。 In this section, we show a configuration based on PC including the TPM chip and Linux Security Module. この実装例の全体の構成を、図12に示す。 The overall configuration of this implementation, shown in FIG. 12.

6−1. 6-1. ブート・ローダにおけるLinuxカーネルの検査 Inspection of the Linux kernel in the boot loader
IBM(登録商標)社のTCPAイネーブル・システムは、現在、BIOSの変更できない部分(CRTM)は、残りのBIOSを測定し、BIOSはまた、ブートストラップされるデバイス(通常では、ハードディスク・ドライブ)のMBR(マスタ・ブート・レコード)の基準となる点で、基準ブートストラップをサポートしている。 IBM (R), Inc. TCPA enable system is currently part that can not be changed in the BIOS (CRTM) measures the rest of the BIOS, BIOS also, (in normal, hard disk drive) device that is bootstrapping in that it serves as a reference of the MBR (master boot record), it supports the standard boot strap. しかしながら、我々が知っている市販のオペレーティング・システムにおいては、さらなる基準は、まったく採用されていない。 However, in commercially available operating system we know, further criterion is not adopted at all.

BIOSは、オペレーティング・システムの一致性を検査するために、直接オペレーティング・システムをロードしないので、BIOSがTCPAのPC特有のインプリメンテーション規格にしたがった役割を担わなければならない。 BIOS, in order to check the consistency of the operating system, because it does not directly load the operating system, must play a role in the BIOS according to the PC-specific implementation standards of the TCPA. この代わりに、BIOSは、ブート・ローダの一部(MBRに存在する)をメモリにロードし、その制御をロードされたコードへと渡す。 Alternatively, BIOS loads part of the boot loader (the present in MBR) into memory, and passes into the loaded code the control. ブート・ローダが適切にオペレーティング・システムの一致性を検査するために、ブート・ローダは、下記の要求を満足する必要がある。 To boot loader to check the consistency of properly operating system, boot loader, it is necessary to satisfy the requirements described below.
(1)ブート・ローダが多重のステージを有する場合、実行されているステージは、次のステージを検査することができなければならず、かつ制御をO/S渡す前に、PCR値に検査結果を記録することができなければならない。 (1) If the boot loader has multiple stages, which it is running, must be able to check the next stage, and before passing control O / S, the inspection results to the PCR value It must be able to record.
(2)ブート・ローダは、O/Sに制御を渡す前に、O/Sイメージおよびすべてのセキュリティ上重要な構成ファイルを検査することが可能でなければならない。 (2) boot loader, before passing control to the O / S, it must be possible to test the O / S image and on all security-critical configuration files. これには、ブート・ローダは、これらのファイルが格納されるファイル・システムを少なくとも一部に実装することが必要とされる。 This includes the boot loader is required that these files are mounted on at least a portion of the file system stored.

PCのためのUnix(登録商標)のようなオペレーティング・システムに対しては、GPLライセンスの下で、例えばLILO(LInux LOader)、GRUB(GRand Unified Bootloader)およびXOSL(Extended Operating System Loader)といった、いくつかのブート・ローダが現在では利用できる。 For operating systems such as Unix (TM) for PC, under GPL license, for example LILO (LInux LOader), such as GRUB (GRand Unified Bootloader) and XOSL (Extended Operating System Loader), number Kano boot loader is available in the current. 説明する実施の形態では、広く使用されており、かつ変更するに適していて変更されたブート・ローダが上述した規格を満足するので、我々のトラステッド・ブート・ローダのプロトタイプとしてGRUBを採用した。 In the embodiment described in, widely used, and since the modified boot loader is suitable to change to meet the standards described above, was adopted GRUB as a prototype for our trusted boot loader.

6−2. 6-2. GRUBにおけるブート・シーケンス 図13は、GRUBのブート・シーケンスの詳細を、多重のステージ、すなわち、ステージ1、ステージ1.5、ステージ2に分割して示した図である(図13(a))。 Boot Sequence diagram 13 in GRUB is a detail of GRUB boot sequence, multiple stages, namely, stage 1 is a diagram showing divided stage 1.5, in stage 2 (FIG. 13 (a)) . これは、現在のPCアーキテクチャのディスク空間のサイズが制限されているためである。 This is because the size of the disk space of the current PC architectures are limited. ステージ1コードは、446バイト長のMBRに適合するように設計した。 Stage 1 code was designed to be suitable for a 446 byte length MBR. ステージ1.5は、ファイル・システムの実装を含み、著しく大きく(概ね、10KBである)、通常使用されていない空間であるMBRの直後のセクタに配置されている。 Stage 1.5 includes the implementation of the file system, significantly larger (generally, a 10KB), it is arranged in the sector immediately following the MBR is a space not normally used. ステージ1.5は、ファイル・システム内のいずれかに配置されるステージ2コードおよびGRUB設定ファイルにアクセスする。 Stage 1.5 accesses the stage 2 code and GRUB configuration file located either in the file system.

BIOSは、ステージ1(MBR)データを、ハードディスク・ドライブからメモリへと読み込み、ステージ1のスタート・ポイントへとジャンプする。 The BIOS, the stage 1 (MBR) data, read from the hard disk drive to memory, jumps to the start point of the stage 1. ステージ1は、まず、ステージ1.5の最初のセクタをロードし、ステージ1.5へとジャンプする。 Stage 1 is, first, to load the first sector of Stage 1.5, it jumps to stage 1.5. このステージ1.5は、さらにステージ1.5の残りのセクタをメモリへとロードし、それにジャンプする。 This stage 1.5, further the rest of the sector of Stage 1.5 is loaded into memory, it jumps. ここで、ステージ1.5は、ファイル・システムのインタフェースを含み、ステージ2を見出してメモリにステージ2をロードし、その後ステージ2のスタート・アドレスへとジャンプする。 Here, stage 1.5, includes an interface of the file system, memory to load the stage 2 found a stage 2, it jumps to then start address of stage 2. この時点で、GRUBは、構成ファイルをチェックし、O/S選択メニューをユーザに表示する。 At this point, GRUB checks the configuration file, and displays the O / S selection menu to the user. ユーザがO/Sを選択した後、GRUBは、選択されたO/Sイメージをメモリに読み込み、O/Sブート処理を開始する。 After the user selects the O / S, GRUB reads the selected O / S image into memory, and starts the O / S boot process.

6−3. 6-3. GRUBにおける検査ステップ 図13には、また、GRUBにおける検査ステップのためのコードを示す(図13(b))。 To a test step 13 in GRUB also indicates the code for the test step in GRUB (FIG 13 (b)). 検査の連鎖はまた、このブートストラップ・シーケンスを反映しなければならない。 Chain of inspection must also reflect this bootstrap sequence. ステージ1は、ステージ1.5の第1のセクタを検査し、ステージ1.5の第1のブロックは、ステージ1.5の残りを検査する。 Stage 1 examines the first sector of Stage 1.5, the first block of Stage 1.5 examines the remaining stages 1.5. その後、ステージ1.5は、ステージ2を検査し、これがオペレーティング・システムの最後の検査である。 Thereafter, stage 1.5 examines the stage 2, which is the last inspection of the operating system. ステージ1と、ステージ1の第1のセクタは、厳密なサイズ制限があるので、これらのステージへの一致性検査コードを挿入することが、本発明における主要な課題である。 A stage 1, the first sector of the stage 1, there is a strict size limitations, to insert a consistency check code to these stages is a major challenge in the present invention.

ステージ1コードは、MBRからロードされ、ステージ1.5の第1のセクタを検査する必要がある。 Stage 1 code is loaded from the MBR, it is necessary to examine the first sector of Stage 1.5. これは、ロードされたセクタのhashを計算し、TPMのTPM_Extend機能を呼び出すことが必要である。 This is, to calculate the hash of the sector that has been loaded, it is necessary to call the TPM_Extend function of the TPM. しかしながら、元々のGRUBコードは、すでにMBRに割り当てられた446バイトのすべてをすでに使用している。 However, the original GRUB codes are already already using all the 446 bytes allocated to MBR. 幸いにも、BIOSサービスは、これを行うように呼び出すことができる。 Fortunately, BIOS service can be invoked to do this. 依然として、本発明においては、古いドライブフォーマット(LBAモードに対するC.H.Sモード)のサポートを廃棄するように実装することができる。 Still, in the present invention can be implemented to discard the support of the old drive format (C.H.S mode for LBA mode).

基本的に、トラステッド・ブートの各ステップは、1)ハードディスク・ドライブからメモリへと次のステージをロードし、2)ロードされたメモリのイメージを検査して、検査された値を使用してPCR値の拡張を行い、3)次のステージのエントリ・ポイントへとジャンプさせることである。 Basically, each step of a trusted boot, 1) is loaded from the hard disk drive to the memory the next stage, 2) by examining the image of the loaded memory, PCR using examined values Carry out the expansion of value, 3) it is to jump to the entry point of the next stage.

次のステージ、すなわちステージ1.5の第1のセクタは、ステージ1と同一の空間制限があるが、ステージ1とほとんど同様に変更することができる。 Next stage, i.e. the first sector of Stage 1.5, there is a stage 1 the same space limitations and although can be changed almost as the stage 1. ステージ1.5の残りの部分は、上述したような空間制限がなく、次のステージであるステージ2の検査能力を追加することは容易である。 The remaining portion of Stage 1.5, there is no space limitations as described above, it is easy to add a test capacity of stage 2 is the next stage. ステージ2は、いくつかの対象を検査する役割を有する。 Stage 2, has a role to inspect some of the subject. まず、ステージ2は、GRUBの構成ファイル(grub.conf)を検査する。 First, stage 2, to inspect the GRUB configuration file (grub.conf). このファイルは、選択メニューにおいて表示されるブート可能なO/Sイメージを特定するために使用される。 This file is used to identify bootable O / S image displayed in the selection menu. 第2に、ステージ2は、ブートするべく選択されたO/Sイメージを検査する必要がある。 Second, stage 2, it is necessary to inspect the selected O / S images to boot. 第3に、ステージ2は、また、いかなる他のセキュリティ上重要なファイル(構成ファイル、ライブラリ・ファイルなど)を検査することが必要である。 Third, stage 2 also, it is necessary to inspect any on other security critical files (configuration file, library file, etc.). これらの検査を可能とするために、grub.confを、本発明にしたがい下記のように変更した。 To enable these tests, the grub.conf, were changed as follows in accordance with the present invention.
(1)“kernel”などのすべてのローディング・コマンドが、自動的にターゲット・イメージを検査し、(2)その問い合わせを行ういかなる特定のファイルについても検査を実行する“measure”コマンドを追加する。 (1) "kernel" is all the loading commands such as, automatically checks the target image, (2) to add a "measure" command also performs a check for any particular file that performs the query. これらのステップの間、PCRの8番目のレジスタの値が、ステージ1.5、ステージ2、およびO/Sファイルを検査するために使用された。 During these steps, the value of the 8 th register of PCR was used to test the Stage 1.5, Stage 2, and O / S file.

6−4. 6-4. OSカーネルおよび構成の検査 上述した実装において、検査の連鎖処理は、OSカーネル、OS構成ファイルとセキュリティ・ポリシー・ファイルといったセキュリティ上重要なファイルおよびいくつかの実行可能なJava(登録商標)仮想マシンなどをカバーする。 In the inspection the above-described implementation of the OS kernel and configuration, the chain process of inspection, OS kernel, OS configuration file and on the security and security policy files important files and some of the executable Java (registered trademark) virtual machine, such as to cover. しかしながら、膨大な数のファイルを検査した場合、信頼できる構成の可能なPCR値の数が連結され、したがって、信頼できるPCR値のサーバ全体のデータベースが管理できなくなる。 However, when examined a large number of files, the number of possible PCR values ​​of reliable structure is connected, therefore, the whole server database reliable PCR value can not be managed. これに変わって、OSカーネルを、セキュリティ上重要ではないファイルおよびリソースを少なくして、一致性を保持させるように実装した。 Changes to the OS kernel, with less files and resources not critical security mounted so as to retain the consistency. ここで、カーネルに対して、Linux SecurityモジュールおよびセキュリティエンハンスドLinux(SELinux)を適用した。 Here, the kernel was applied Linux Security Module and Security Enhanced Linux (SELinux). 適切なSELinuxポリシー・ファイルを使用した場合、LSMとSELinuxの組み合わせは、実行可能なライブラリおよび他のデータ・ファイルといったシステムのいかなる部分に対する望まれない変更に対してより良好な保護を提供する。 With the appropriate SELinux policy file, a combination of LSM and SELinux provides better protection against changes undesirable for any part of the system, such as executable library and other data files.

ブートストラップ時点で実行される一致性検査は、ブートストラップ後の検査の一致性を保証するものではない。 Bootstrap point matching checks performed by does not guarantee the test consistency after bootstrap. O/Sがシステムのいくつかのプログラムがすでに測定された部分を変更することを可能とする場合、TPMに格納されたPCR値は、もはや正確なステータスを反映しない。 If O / S is it possible to change a part number of the program has already been determined in the system, PCR value stored in the TPM does not reflect longer accurate status. したがって、OSレベルにおける不法な変更に対応する強力な保護がきわめて重要である。 Accordingly, strong protection corresponding to illegal changes in the OS level is very important.

6−5. 6-5. LSM/SELinuxおよびJava(登録商標)における強制アクセス制御 この実施の形態では、トラステッド・ドメイン・モデルの実装は、保護層についてセキュリティエンハンスドオペレーシング・システム、すなわちLinuxセキュリティ・モジュール(LSM)およびSELinuxを選択した。 The Mandatory Access Control this embodiment in LSM / SELinux and Java (registered trademark), the implementation of the trusted domain model, select security enhanced operating lacing system, i.e. the Linux Security Module (LSM) and SELinux Protection layer did. この組み合わせは、従来のUnix(登録商標)アクセス制御よりも基本的に強力なアクセス制御を提供する。 This combination provides essentially strong access control than conventional Unix (registered trademark) access control. 図14は、LSM/SELinuxアーキテクチャに基づいたトラスト・プラットホーム・モデルの実装例を示す。 Figure 14 illustrates an implementation example of a trust platform model based on LSM / SELinux architecture.

図14においては、Linuxセキュリティ・モジュール(LSM)は、汎用目的のアクセス制御を可能とするLinuxカーネル・パッチである。 In Figure 14, Linux Security Module (LSM) is a Linux kernel patch that enables access control general purpose. LSMは、カーネルの重要なリソースすべてに対して、アクセス・パッチにフックを配置し、プラグ−インモジュール(ポリシー・モジュールとして参照される)に対して、アクセス制御の決定を行わせる。 LSM is for all essential resources of the kernel, the hook is located in an access patch plug - relative-in module (referred to as policy module) to perform the access control decisions. これは、従来のUnix(登録商標)セキュリティモデルがセキュリティの充分なレベルを提供するために不充分であると考えられているので、Linuxオペレーティング・システムをセキュリティ化する重要なステップである。 This is because the conventional Unix (registered trademark) security model is thought to be insufficient to provide a sufficient level of security is an important step for security of the Linux operating system. 標準的なUnix(登録商標)の最も大きな制約は、ユーザにより実行されるすべてのプログラムは、ユーザに与えられたすべての権利を承継し(これは、特にユーザがルートである場合に問題である)、不正なソフトウェアからのオペレーティング・システムの保護をきわめて困難にする。 The most significant limitation of the standard Unix (registered trademark), all programs that are executed by the user, succeed to all the rights granted to the user (This is particularly problematic if the user is a root ), to extremely difficult operating system protection from malicious software.

NSAにより開発されたセキュリティ向上Linux(SELinux)は、LSM用のポリシー・モジュールである。 Improve security Linux, which was developed by the NSA (SELinux) is a policy module for LSM. これは、強制アクセス制御(MAC)ポリシーを向上させるので、システムにわたるセキュリティ・ポリシーがユーザの不用意な操作、アプリケーション・プログラムのセキュリティ脆弱性、または不正なソフトウェアに関わらず向上できる。 Since this improves the mandatory access control (MAC) policy, careless manipulation security policy of the user over the system can be improved regardless of the application program security vulnerabilities or malware.

これらの技術を結合し、本発明者らは、システムにわたるセキュリティ・ポリシーを向上させた。 Combines these techniques, the present inventors have improved the security policy across systems. ドメインは、ユーザ・アカウントとして実装され、これは、別のユーザ・アカウントおよびルートユーザのもとで実行されるアプリケーションから良好に保護される。 Domain is implemented as a user account, which is better protected from an application running under a different user accounts and the root user. ドメイン・インスタンスは、リモートシェルである。 Domain instance, is a remote shell. リモート所有者が、プラットホーム(すなわち、ドメイン・インスタンスを生成させる)にログインすると、Pluggable Authentication Module (PAM)は、TCPAチップと作用し、暗号化鍵をアンロックする。 Remote owner, the platform (i.e., to produce a domain instance) when logging into, Pluggable Authentication Module (PAM) acts as TCPA chip, to unlock the encryption key.

また、プラットホームは、取り外し可能な記憶装置を有しており、暗号化されたファイル・システムが必須とされる。 Further, the platform has a removable storage device, encrypted file system is required. サービスにより所有されるすべてのファイルは、TPMに格納されたサーバの鍵により暗号化されるので、ファイルは、所有者のドメインからアクセス可能とされるだけである。 All files are owned by the service, because it is encrypted by the key of the server stored in the TPM, file will only be accessible from the owner of the domain.
オペレーティング・システムレベルの分離に加えて、実装はまた、Java(登録商標)レベルでのアプリケーション・分離を有している。 In addition to the operating system level of separation, implementation also has application separation in Java (registered trademark) level. これは、Java(登録商標)の本来的なアクセス制御機構(JAAS)またはOSGiにより規定される許可およびユーザ管理機構により行われる。 This is done by permission and user management mechanism is defined by the inherent access control mechanism (JAAS) or the OSGi Java (registered trademark).

7. 7. 別のプロトコル−WSセキュリティ Another protocol -WS security
OASIS-WSセキュリティ標準の最初に規定されるプロトコルを使用することもできる。 It is also possible to use OASIS-WS security standards first protocol defined for.

WSセキュリティは、ウェブサービスのためのセキュリティ構築ブロックの規格のセットである。 WS-Security is a set of standards of security building blocks for the web service. これは、通信パーティの間で渡され、かつ第3者(セキュリティ・トークン・サービスとして参照される)により信頼性が与えられる、“security tokens”として表現される“Claim”という汎用的な概念を規定することにより一致性、信頼性、認証およびSOAPメッセージのための認証といったセキュリティ機能といったセキュリティ機能を提供する。 This is passed between the communicating parties, and the general concept is the "Claim" expressed as a third party reliable by (referred to as security token service) is given, "security tokens" consistency by defining, reliability, provides authentication and security features such as security functions such as authentication for SOAP messages.

図15は、WSセキュリティ・アーキテクチャに基づいて構成された本発明の例示的な実施の形態を示す。 Figure 15 illustrates an exemplary embodiment of the present invention configured on the basis of the WS security architecture. プラットホームの一致性検査は、セキュリティ・トークンとして、クレーム部60に実装され、各エンティティ62、64、66に含まれている。 Consistency checking of the platform, as a security token, is implemented in the claims section 60, contained in each entity 62, 64, and 66. クライアントといったリクエスタ62は、は、本発明にしたがい構成されている。 Requester 62 such client is configured in accordance with the present invention. また、ウェブサービス・サイト6は、また、本発明にしたがい構成されている。 Also, the web service site 6, also, has been constructed in accordance with the present invention. リクエスタ62が、ウェブサービスをウェブサービス・サイト64へと要求すると、署名付き証明を含むトークンが例えばウェブサービス・サイトからセキュリティ・トークン・サービス・サイト66へと送られる。 Requestor 62, and requests the web service to the web service site 64, it is sent from the token, including a signed certificate, for example, a web service site to the security token service site 66.

セキュリティ・トークン・サービス・サイト64は、アクセス許可データをウェブサービス・サイト64へと発行し、ウェブサービス・サイト64は、リクエスタ62からのリクエストがトラステッド・ドメイン・サービスにおいて許容されるかを決定する。 Security token service site 64, issues an access permission data to the web service site 64, web service site 64, to determine whether the request from the requester 62 is allowed in the trusted domain service . プラットホーム認証といったプラットホーム証明およびソフトウェア証明(このトークンに含まれた値が信頼できるか)は、またセキュリティ・トークン・サービスにより発行されるセキュリティ・トークンとして表される。 Platform certification and software certification such platform authentication (or the value contained in the token is reliable) it is also expressed as a security token that is issued by a security token service. これは、本発明の信頼性のあるインフラ構造の頑強なフレームワークを提供する。 This provides a robust framework infrastructure Reliable present invention.

これまで本発明を図面に示した特定の実施の形態をもって説明してきたが、以下に本発明をまとめて開示する。 While there have been described with specific embodiments shown the present invention in the drawings, disclose collectively present invention below.
(1)ネットワークを通じてサービスを受け取るための情報処理装置であって、前記情報処理装置は、ハードウェア構成を反映する一致性値の少なくとも1つと共にディジタル署名を受け取る通信部と、少なくとも前記一致性値の同一性を検証するためのチェック部とを含み、前記情報処理装置は、前記一致性値の決定に応答して前記ネットワークを通して前記情報処理装置のための排他的ドメインを形成させるリクエストを発行する、情報処理装置。 (1) The information processing apparatus for receiving the service via a network, said information processing apparatus includes a communication unit for receiving the digital signature with at least one integrity values ​​that reflect the hardware configuration, at least the integrity values and a checking unit for verifying the identity of said information processing apparatus issues a request to form an exclusive domain for the information processing apparatus through said network in response to the determination of the integrity values , the information processing apparatus.
(2)前記チェック部は、格納されたディジタル署名または格納された値に関連して前記ディジタル署名または一致性値を検査する、(1)に記載の情報処理装置。 (2) the check unit, in connection with the stored digital signature or stored value to check the digital signature or integrity values, the information processing apparatus according to (1).
(3)前記情報処理装置は、前記ネットワークからサービスを受け取るクライアントである、(1)に記載の情報処理装置。 (3) The information processing apparatus is a client to receive services from the network, the information processing apparatus according to (1).
(4)ネットワークを通してオンデマンドに処理されたデータを提供するため、前記ネットワークに接続されたサーバ装置であって、前記サーバ装置は、 (4) to provide a processed data on demand through the network, an a server apparatus connected to the network, the server apparatus,
装置信頼性ルートに基づいて信頼性を与え、かつ前記サーバ装置のスタートまたはリセットに際してディジタル署名に付される署名付き一致性値を生成し、前記一致性値が前記サーバ装置の構成の一致性を与える信頼性付与部と、 Based on the device reliability route giving reliability and the generating the signed integrity values ​​to be subjected to digital signature upon start or reset of the server device, the consistency value is the consistency of the configuration of the server device and the reliability grant section that gives,
前記ネットワークからリクエストを受け取り、かつ前記サーバ装置の署名された一致性値および処理されたデータを前記ネットワークへと送出する通信部とを含み、 Receiving said request from the network, and includes a communication unit and for sending the signed the consistency values ​​and processed data of the server device to the network,
前記サーバ装置は、新規ドメインを生成し、かつ他のリクエストを受け取ると前記署名された一致性値に応答して前記サーバ装置のリソースへのアクセスを許可するサーバ装置。 The server apparatus, the server apparatus that allows access to generate a new domain, and in response to the signed integrity values ​​to receive another request to a resource of the server device.
(5)前記サーバ装置は、スタートまたはリセットまたはそれら双方に際して管理を開始させ、リソースへのアクセスを可能とするルート鍵へのアクセスを許可する、(4)に記載のサーバ装置。 (5) the server apparatus, to initiate the administrative upon start or reset, or they both allow access to the root key that allows access to resources, the server device according to (4).
(6)前記サーバ装置のリソースは、暗号化された形式として格納され、前記サーバ装置は、前記ルート鍵の復号により前記リソースへのアクセスを許可する、(4)に記載のサーバ装置。 (6) the resource of the server apparatus is stored as an encrypted form, the server device allows access to the resource by the decoding of the root key, the server apparatus according to (4).
(7)前記署名を生成するために、認証付き証明が通信され、前記サーバの格納部には、前記認証付き証明が格納されているか、または前記サーバ装置は、前記認証付き証明を、遠隔エンティティを通じて問い合わせる、(4)に記載のサーバ装置。 (7) to generate the signature, authentication-proof is communicated, in the storage unit of the server, the or authentication-proof is stored, or the server device, the authentication-proof remote entity inquiring through, server apparatus according to (4).
(8)情報処理装置をしてネットワークを通じてサーバ装置と通信させるための方法であって、前記方法は、前記情報処理装置に対して、 (8) to the information processing apparatus a method for communicating with a server apparatus via a network, the method to the information processing apparatus,
ハードウェア構成に依存する署名された一致性値を受け取るステップと、前記署名された一致性値の少なくとも1つの同一性を決定するステップと、 Determining receiving a signed integrity values ​​depending on the hardware configuration, the at least one identity of the signed integrity values,
前記一致性値の前記決定に応答して前記ネットワークを通じて前記情報処理装置のための排他的ドメインを生成するリクエストを送出させるステップと を実行させる方法。 How to execute the step of sending a request to generate an exclusive domain for the information processing apparatus via the response network to the determination of the integrity values.
(9)前記サーバ装置は、前記署名された一致性値と処理されたデータとを前記ネットワークを通して、前記リクエストを発行した情報処理装置に対して送出する、(8)に記載の方法。 (9) the server apparatus, and said treated with signed integrity values ​​data through the network, and sends the information processing apparatus that issued the request, the method described in (8).
(10)ネットワークを介してサーバ装置に通信を実行させるための方法であって、前記方法は、前記サーバ装置に対して、 (10) A method for performing a communication to a server apparatus via a network, the method to the server apparatus,
前記サーバ装置が段階的に実行するセットアップのための初期コードをメモリから呼出すステップと、 A step of calling an initial code for setup the server apparatus executes stepwise from the memory,
前記サーバ装置のソフトウェア構成に関連して不変に維持される一致性値を生成し、前記一致性値をレジスタ・アレイに格納させるステップと、 A step of the connection with the software configuration of the server apparatus generates the integrity values ​​that are maintained unchanged, and stores the integrity values ​​to the register array,
前記サーバ装置の一致性を認証することにより前記一致性値に付すべきディジタル署名を生成するステップと、 Generating a digital signature to be added to the matching value by authenticating the consistency of the server apparatus,
前記一致性値に前記生成されたディジタル署名を付するステップと、 A step of subjecting a digital signature said generated in the integrity values,
前記サーバ装置の認証を証明するために、前記一致性値を前記ディジタル署名と共に送出するステップと を実行させる方法。 To demonstrate the authentication of the server apparatus, method and a step of sending the integrity values ​​with the digital signature.
(11)前記生成ステップは、 (11) said generating step,
前記ソフトウェア構成に関連するハードウェアの一致性値のための私有鍵および認証を検証するための私有鍵を生成するステップと、 Generating a private key for verifying the private key and certificate for hardware integrity values ​​associated with the software configuration,
前記鍵の認証に応答して前記一致性値に対してディジタル署名を与えるか否かを決定するステップと、 Determining whether providing a digital signature to the integrity values ​​in response to the authentication of the key,
前記検証のための鍵が認証された場合には、前記一致性値に対して前記ディジタル署名を付するステップと を含む、(10)に記載の方法。 When said key for verification is authenticated, and a step of subjecting the digital signature to the integrity values, the method described in (10).
(12)前記方法は、さらに、前記検証のための鍵を使用して前記ディジタル署名を生成させるステップを含む、(11)に記載の方法。 (12) said method further comprising said step of generating said digital signature using the key for verification, the method described in (11).
(13)ネットワークに接続されたサーバ装置に対して、前記ネットワークを通じて処理されたデータをオンデマンドに提供させるための方法であって、前記方法は、前記サーバ装置に対して、 (13) with respect to a server apparatus connected to a network, a method for providing processed data through the network on demand, the method to the server apparatus,
装置一致性に応答する一致性値に基づいて信頼性の付与された管理ドメインを生成するステップと、 Generating a granted administrative domain of reliability on the basis of the integrity values ​​to respond to device matching,
認証証明を参照して前記一致性値を認証し、ディジタル署名を付するステップと、 Referring to the authentication credentials to authenticate the integrity values ​​comprising the steps of subjecting a digital signature,
前記サーバ装置のサービスを受け取るために前記ネットワークから前記サーバ装置にアクセスするためのリクエストを受け取るステップと、 Receiving a request for access to the server device from the network to receive services of the server apparatus,
ディジタル署名を伴う少なくとも1つの一致性値を通信するステップと、 A step of communicating at least one integrity values ​​with a digital signature,
前記リクエストに対応する排他的ドメインを生成させる他のリクエストを受け取るステップと を実行させる方法。 How to execute the steps of receiving another request to produce an exclusive domain corresponding to the request.
(14)前記管理ドメインは、ルート鍵に対するアクセスを許可するステップを実行して、前記サーバ装置のリソースへのアクセスを制御させる、(13)に記載の方法。 (14) the management domain, by performing the step of allowing access to the root key, to control access to resources of the server device, the method described in (13).
(15)前記サーバ装置のリソースは、暗号化された形式で格納され、前記方法は、さらに前記ルート鍵を使用して前記リソースを復号して情報処理装置による前記リソースへのアクセスを許可するステップを含む、(14)に記載の方法。 (15) resources of the server device may be stored in encrypted form, the step the method, to allow access of the resource by the further decoding to the information processing apparatus the resource using the root key including, the method described in (14).
(16)上記(8)または(9)に記載の方法を前記情報処理装置に対して実行させるための装置実行可能なプログラム。 (16) (8) or device executable program for executing the method according to the information processing apparatus (9).
(17)上記(10)から(15)のいずれか1項に記載の方法を前記サーバ装置に実行させるための装置実行可能なプログラム。 (17) device-executable program for executing the method according to the server device in any one of (10) (15).

本発明のネットワーク・システムの例示的な実施の形態を示した図。 It shows an exemplary embodiment of a network system of the present invention.

本発明のクライアントの典型的なハードウェア構成を示した図。 It illustrates a client typical hardware configuration of the present invention.

トラステッド・ドメイン・サービスを提供するサーバの典型的なハードウェア構成を示した図。 It illustrates a typical hardware configuration of a server that provides a trusted domain service.

サーバに生成されるトラステッド・ドメインの概略的な構成を示した図。 It shows a schematic configuration of the trusted domain to be generated in the server.

新規なドメインがクライアントへと生成されるまでのクライアントとサーバとの間の処理を示した図。 Figure new domains showing the processing between the client and the server to be generated to the client.

認証とクライアントへのドメインの割り当てについて使用される差例示的なデータ構造を示した図。 It illustrates differences exemplary data structure used for the assignment of domain to the authentication and client.

ハードウェアの一致性に固有の一致性値を生成するための処理を示した図。 It illustrates a process for generating a unique integrity values ​​to match of hardware.

サーバへのトラステッド・ドメイン・アクセスを可能とするクライアントのTPMの機能を示した図。 It illustrates the function of a client of the TPM that allows the trusted domain access to the server.

クライアントからのリクエストを受け取り、新規なドメインの生成を示した図。 Receiving a request from a client, it showed the production of novel domain FIG.

クライアントとサーバとの間の新規なドメインのインスタンス化のための処理を示した図。 It illustrates a process for instantiating a new domain between the client and the server.

各ドメインにおける本質的なデータ保護を示した図。 It shows the essential data protection in each domain.

本発明によるドメイン・シークレット・データの保護のための処理を示した図。 It illustrates a process for the protection of domain secret data according to the present invention.

GRUBを多重のステージに分割してGRUBのブート・シーケンスを詳細に示した図。 It illustrates the boot sequence for GRUB detail by dividing GRUB in multiple stages.

LSM/SELinuxアーキテクチャに基づくトラステッド・プラットホーム・モデルの実装の実施の形態を示した図。 It illustrates an embodiment of implementation of the Trusted Platform model based on LSM / SELinux architecture.

WSセキュリティ・アーキテクチャに基づいて構成された本発明の例示的な実施の形態を示した図。 It shows an exemplary embodiment of the present invention configured on the basis of the WS security architecture.


10…ネットワーク・システム、12…サーバ、14…ネットワーク基盤、16…クライアント、18…記憶装置(データベース)、20…リモート・ベリファイア、22…通信デバイス、24…CPU、26…メモリ、28…ハードディスク、30…PCR(一致性)チェッカ、32…バス、34…ルート・トラスト部、38…レジスタ・アレイ、40…システム(TCB)、42…管理ドメイン、44…管理者、46…アプリケーション・ドメイン1、48…アプリケーション・ドメイン2、50…ユーザ・ドメイン、52…記憶装置(データベース)、54…第2の記憶装置、56…認証リスト、60…クレーム部、62、64、66…WSセキュリティ・アーキテクチャにおけるエンティティ 10 ... network system, 12 ... server, 14 ... network infrastructure, 16 ... client, 18 ... storage device (database), 20 ... remote verifier, 22 ... communication device, 24 ... CPU, 26 ... memory, 28 ... hard disk , 30 ... PCR (consistency) checker, 32 ... bus, 34 ... root trust unit, 38 ... register array, 40 ... system (TCB), 42 ... management domain, 44 ... administrator, 46 ... application domain 1 , 48 ... application domain 2,50 ... user domain, 52 ... storage device (database), 54 ... second memory device, 56 ... authentication list, 60 ... claims section, 62, 64, 66 ... WS security Architecture entity in

Claims (8)

  1. ネットワークを通してオンデマンドに処理されたデータを提供するため、前記ネットワークに接続されたサーバ装置であって、前記サーバ装置は、 To provide a processed data on demand through the network, an a server apparatus connected to the network, the server apparatus,
    装置信頼性ルートとして機能する管理ドメインにより信頼性を与え、かつ前記サーバ装置のスタートまたはリセットに際してディジタル署名に付される署名付きの一致性値であって前記一致正値が前記サーバ装置がスタート、またはリセットされた場合クリアされ、セットアップ処理のコードが呼び出されるごとに前記セットアップ処理で必要なコードのすべてが完了するまで拡張されることにより生成し、前記一致性値により前記サーバ装置の構成の一致性を与える信頼性付与部と、 Apparatus giving reliability by management domain that functions as a reliability route, and the server device start or the coincidence positive value is the a signed integrity values ​​to be subjected to the digital signature server is started upon reset, or when it is reset is cleared, generated by being extended to the all the code required by the setup process is completed every time the code of the setup process is called matching of the configuration of the server apparatus by the integrity values and the reliability grant section that gives the sex,
    前記ネットワークからリクエストを受け取り、かつ前記サーバ装置の署名された前記一致性値および処理されたデータを前記ネットワークへと送出する通信部とを含み、 Receiving said request from the network, and includes a communication unit and a signed the integrity values ​​and processed data are in the server apparatus sends to said network,
    前記サーバ装置は、サーバidと、 前記一致性値をディジタル署名するための検査一致性鍵(AIK)のうち、公開鍵を第3者による電子署名して与えられる証明値と、前記一致性値とに対応付けてドメイン識別値を割当てることにより前記リクエストに対応して新規な排他的ドメインを生成し、かつ他のリクエストを受け取ると前記署名された一致性値に対応するドメイン識別値により前記サーバ装置が生成する前記排他的ドメインのリソースへのアクセスを許可する、サーバ装置。 The server device includes a server id, of the test consistency key to digitally sign the integrity values (AIK), and proof value given the public key and electronic signature of the third party, the integrity values the server by the domain identification value corresponding to the request to generate a new exclusive domain and corresponding to the signed integrity values ​​to receive other requests by assigning a domain identification value in association with the bets device to allow access to resources of the exclusive domain of generating, the server device.
  2. 前記サーバ装置は、スタートまたはリセットまたはそれら双方に際して管理を開始させ、リソースへのアクセスを可能とするルート鍵へのアクセスを許可する、請求項1に記載のサーバ装置。 The server device may initiate the administrative upon start or reset, or they both allow access to the root key that allows access to resources, the server device according to claim 1.
  3. 前記サーバ装置のリソースは、暗号化された形式として格納され、前記サーバ装置は、前記ルート鍵の復号により前記リソースへのアクセスを許可する、請求項2に記載のサーバ装置。 The resources of the server apparatus is stored as encrypted form, the server device allows access to the resource by the decoding of the root key, the server apparatus according to claim 2.
  4. 前記署名を生成するために、検査一致性鍵の公開鍵部分を認証した認証付き証明を生成するための通信が行われ、前記サーバ装置の格納部には、前記認証付き証明が格納されているか、または前記サーバ装置は、前記認証付き証明を、遠隔エンティティを通じて問い合わせて生成する、請求項1に記載のサーバ装置。 To generate the signature, communication is performed to generate an authentication with certificates that authenticate the public key portion of the test matching key, or wherein the storage unit of the server, the authentication-proof is stored , or the server device, the authentication-proof, generates contact through remote entity, the server device according to claim 1.
  5. ネットワークに接続されたサーバ装置が情報処理装置に対し、前記ネットワークを通じて処理されたデータをオンデマンドに提供させるための方法であって、前記方法は、 To a server apparatus connected to the network is an information processing apparatus, a method for providing processed data through the network on demand, the method comprising:
    前記サーバ装置に対して、装置の一致性を与え、前記サーバ装置がスタート、またはリセットされた場合クリアされ、セットアップ処理のコードが呼び出されるごとに前記セットアップ処理で必要なコードのすべてが完了するまで拡張されることにより生成される一致性値に基づいて信頼性の付与された管理ドメインを生成するステップと、 To the server device, given the consistency of the device, the cleared if the server device is started or reset, until the all the code required by the setup process is completed every time the code of the setup process is called generating a granted administrative domain of reliability on the basis of the integrity values ​​generated by being expanded,
    検査一致性鍵の公開鍵部分を認証した認証付き証明を参照して前記一致性値を認証し、ディジタル署名を付するステップと、 Reference to the test consistency key public key portion authentication with certificates that authenticate to authenticate the integrity values ​​comprising the steps of subjecting a digital signature,
    前記サーバ装置のサービスを受け取るため、前記ネットワークから前記サーバ装置にアクセスするための認証リクエストを受け取るステップと、 To receive the service of the server device, comprising: receiving an authentication request for accessing the server device from the network,
    ディジタル署名を伴う少なくとも1つの一致性値を通信するステップと、 A step of communicating at least one integrity values ​​with a digital signature,
    前記認証リクエストに対応し、前記サーバ装置が、サーバidと、 前記一致性値をディジタル署名するための検査一致性鍵(AIK)のうち、公開鍵を第3者による電子署名して与えられる証明値と、前記一致性値とに対応付けてドメイン識別値を割当てることにより前記認証リクエストに対応して新規な排他的ドメインを生成し、かつ他のリクエストを受け取ると前記署名された一致性値に対応するドメイン識別値により前記サーバ装置が生成する前記排他的ドメインのリソースへのアクセスを許可するステップと を実行させる方法。 Corresponding to the authentication request, the server device includes a server id, of the test consistency key to digitally sign the integrity values (AIK), proof provided by electronic signature public key by a third party and values ​​corresponding to the authentication request generates a new exclusive domain by assigning the domain identification value in association with said matching value and the signed integrity values ​​to receive another request how to execute the steps of allowing access to resources in the exclusive domain of the server device generates a corresponding domain identifier value.
  6. 前記管理ドメインは、ルート鍵に対するアクセスを許可するステップを実行して、前記サーバ装置のリソースへのアクセスを制御させる、請求項5に記載の方法。 The administrative domain, by performing the step of allowing access to the root key, to control access to resources of the server device A method according to claim 5.
  7. 前記サーバ装置のリソースは、暗号化された形式で格納され、前記方法は、さらに前記ルート鍵を使用して前記リソースを復号して情報処理装置による前記リソースへのアクセスを許可するステップを含む、請求項6に記載の方法。 Resources of the server device may be stored in encrypted form, the method includes permitting access to the resource by the information processing apparatus further decoding the resource by using the root key, the method of claim 6.
  8. 請求項5〜7のいずれか1項に記載の方法を前記サーバ装置に対して実行させるための装置実行可能なプログラム。 Device-executable program for executing to the server device a method according to any one of claims 5-7.
JP2003403371A 2003-12-02 2003-12-02 The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program Expired - Fee Related JP4064914B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003403371A JP4064914B2 (en) 2003-12-02 2003-12-02 The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2003403371A JP4064914B2 (en) 2003-12-02 2003-12-02 The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program
CN 200410091068 CN100594692C (en) 2003-12-02 2004-11-16 Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus
US11/001,817 US8171295B2 (en) 2003-12-02 2004-12-02 Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable process
US13/432,715 US8560857B2 (en) 2003-12-02 2012-03-28 Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable program

Publications (2)

Publication Number Publication Date
JP2005167589A JP2005167589A (en) 2005-06-23
JP4064914B2 true JP4064914B2 (en) 2008-03-19



Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003403371A Expired - Fee Related JP4064914B2 (en) 2003-12-02 2003-12-02 The information processing apparatus, a server apparatus, a method for an information processing apparatus, a method for a server device and a device executable program

Country Status (3)

Country Link
US (2) US8171295B2 (en)
JP (1) JP4064914B2 (en)
CN (1) CN100594692C (en)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8495361B2 (en) * 2003-12-31 2013-07-23 International Business Machines Corporation Securely creating an endorsement certificate in an insecure environment
US7644278B2 (en) * 2003-12-31 2010-01-05 International Business Machines Corporation Method for securely creating an endorsement certificate in an insecure environment
US20060294383A1 (en) * 2005-06-28 2006-12-28 Paula Austel Secure data communications in web services
US7565685B2 (en) * 2005-11-12 2009-07-21 Intel Corporation Operating system independent data management
US7571377B2 (en) 2005-12-22 2009-08-04 International Business Machines Corporation Method and apparatus for transmitting data in an integrated circuit
CN100440892C (en) 2005-12-26 2008-12-03 北京航空航天大学 Gridding safety communication system and gridding safety communication method
JP4722730B2 (en) * 2006-03-10 2011-07-13 富士通株式会社 Security management program, security management apparatus, and method of security management
EP2013808B1 (en) * 2006-04-21 2018-01-10 InterDigital Technology Corporation Apparatus and methods for performing trusted computing integrity measurement reporting
US20070288989A1 (en) * 2006-06-09 2007-12-13 Nokia Corporation Method, electronic device, apparatus, system and computer program product for updating an electronic device security policy
US10049077B2 (en) * 2006-06-30 2018-08-14 Intel Corporation Handheld device for elderly people
US20100063996A1 (en) * 2006-07-03 2010-03-11 Kouichi Kanemura Information processing device, information recording device, information processing system, program update method, program, and integrated circuit
US20080046752A1 (en) * 2006-08-09 2008-02-21 Stefan Berger Method, system, and program product for remotely attesting to a state of a computer system
US20080104008A1 (en) * 2006-10-31 2008-05-01 Brantley David L Common data broker method, system, and program product
US9280659B2 (en) * 2006-12-29 2016-03-08 Intel Corporation Methods and apparatus for remeasuring a virtual machine monitor
US7966039B2 (en) * 2007-02-02 2011-06-21 Microsoft Corporation Bidirectional dynamic offloading of tasks between a host and a mobile device
TWI328747B (en) * 2007-03-16 2010-08-11 Ind Tech Res Inst System and method for sharing e-service resource of digital home
US20080235513A1 (en) * 2007-03-19 2008-09-25 Microsoft Corporation Three Party Authentication
US8151262B2 (en) * 2007-03-30 2012-04-03 Lenovo (Singapore) Pte. Ltd. System and method for reporting the trusted state of a virtual machine
KR100914430B1 (en) * 2007-05-02 2009-08-28 인하대학교 산학협력단 Service mobility management system using xml security and the method thereof
US8064605B2 (en) * 2007-09-27 2011-11-22 Intel Corporation Methods and apparatus for providing upgradeable key bindings for trusted platform modules
US8752130B2 (en) * 2007-12-21 2014-06-10 Samsung Electronics Co., Ltd. Trusted multi-stakeholder environment
GB2455796A (en) * 2007-12-21 2009-06-24 Symbian Software Ltd Mechanism for controlling access to a key store
US9015454B2 (en) * 2008-05-02 2015-04-21 Hewlett-Packard Development Company, L.P. Binding data to computers using cryptographic co-processor and machine-specific and platform-specific keys
US8074258B2 (en) * 2008-06-18 2011-12-06 Microsoft Corporation Obtaining digital identities or tokens through independent endpoint resolution
US8300829B2 (en) * 2008-06-23 2012-10-30 Nokia Corporation Verification key handling
US8572692B2 (en) 2008-06-30 2013-10-29 Intel Corporation Method and system for a platform-based trust verifying service for multi-party verification
US8112633B1 (en) * 2008-06-30 2012-02-07 Symantec Corporation Server side verification of digital signatures in streaming environments
JP2010152704A (en) * 2008-12-25 2010-07-08 Hitachi Ltd System and method for operational management of computer system
US9805196B2 (en) 2009-02-27 2017-10-31 Microsoft Technology Licensing, Llc Trusted entity based anti-cheating mechanism
CN101527718B (en) 2009-04-16 2011-02-16 西安西电捷通无线网络通信股份有限公司 Method for building ternary-equally recognizing credible network connecting architecture
US9807608B2 (en) * 2009-04-20 2017-10-31 Interdigital Patent Holdings, Inc. System of multiple domains and domain ownership
CN101540676B (en) * 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 Platform identifying method suitable to identify credible network connecting construction in ternary equal way
US8776053B2 (en) * 2009-09-25 2014-07-08 Oracle International Corporation System and method to reconfigure a virtual machine image suitable for cloud deployment
CN105306480A (en) * 2009-10-15 2016-02-03 交互数字专利控股公司 Method and device in system including the device
US8776245B2 (en) * 2009-12-23 2014-07-08 Intel Corporation Executing trusted applications with reduced trusted computing base
WO2011109518A1 (en) * 2010-03-02 2011-09-09 Interdigital Patent Holdings, Inc. Migration of credentials and/or domains between trusted hardware subscription modules
US9118666B2 (en) * 2010-06-30 2015-08-25 Google Inc. Computing device integrity verification
US8700895B1 (en) 2010-06-30 2014-04-15 Google Inc. System and method for operating a computing device in a secure mode
CN101888383B (en) * 2010-06-30 2013-07-31 北京交通大学 Method for implementing extensible trusted SSH
US9208318B2 (en) * 2010-08-20 2015-12-08 Fujitsu Limited Method and system for device integrity authentication
WO2012033496A1 (en) * 2010-09-10 2012-03-15 Hewlett-Packard Development Company, L.P. Unlock a storage device
CN101976317B (en) * 2010-11-05 2012-12-05 北京世纪互联宽带数据中心有限公司 Virtual machine image safety method in private cloud computing application
KR20150085101A (en) * 2010-12-06 2015-07-22 인터디지탈 패튼 홀딩스, 인크 Smart card with domain-trust evaluation and domain policy management functions
US8880667B2 (en) * 2011-02-09 2014-11-04 Microsoft Corporation Self regulation of the subject of attestation
US9064111B2 (en) * 2011-08-03 2015-06-23 Samsung Electronics Co., Ltd. Sandboxing technology for webruntime system
US8694786B2 (en) * 2011-10-04 2014-04-08 International Business Machines Corporation Virtual machine images encryption using trusted computing group sealing
US8893225B2 (en) 2011-10-14 2014-11-18 Samsung Electronics Co., Ltd. Method and apparatus for secure web widget runtime system
CN104718526B (en) 2012-03-30 2018-04-17 Sncr有限责任公司 Secure Mobile Framework
US9177129B2 (en) * 2012-06-27 2015-11-03 Intel Corporation Devices, systems, and methods for monitoring and asserting trust level using persistent trust log
US9307411B2 (en) * 2012-11-08 2016-04-05 Nokia Technologies Oy Partially virtualizing PCR banks in mobile TPM
US10230738B2 (en) * 2013-05-13 2019-03-12 Telefonaktiebolaget Lm Ericsson (Publ) Procedure for platform enforced secure storage in infrastructure clouds
CN104158791A (en) * 2013-05-14 2014-11-19 北大方正集团有限公司 Safe communication authentication method and system in distributed environment
US9167002B2 (en) * 2013-08-15 2015-10-20 Microsoft Technology Licensing, Llc Global platform health management
US9542568B2 (en) * 2013-09-25 2017-01-10 Max Planck Gesellschaft Zur Foerderung Der Wissenschaften E.V. Systems and methods for enforcing third party oversight of data anonymization
US9384362B2 (en) 2013-10-14 2016-07-05 Intuit Inc. Method and system for distributing secrets
US9396338B2 (en) * 2013-10-15 2016-07-19 Intuit Inc. Method and system for providing a secure secrets proxy
US9894069B2 (en) 2013-11-01 2018-02-13 Intuit Inc. Method and system for automatically managing secret application and maintenance
US9444818B2 (en) 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
US9467477B2 (en) 2013-11-06 2016-10-11 Intuit Inc. Method and system for automatically managing secrets in multiple data security jurisdiction zones
US9792427B2 (en) * 2014-02-07 2017-10-17 Microsoft Technology Licensing, Llc Trusted execution within a distributed computing system
US9729320B2 (en) * 2014-02-25 2017-08-08 Cavium, Inc. Apparatus and method for software enabled access to protected hardware resources
CN104951316B (en) 2014-03-25 2018-09-21 华为技术有限公司 A kind of credible startup method and apparatus of kernel
US9282122B2 (en) * 2014-04-30 2016-03-08 Intuit Inc. Method and apparatus for multi-tenancy secrets management
US9692599B1 (en) * 2014-09-16 2017-06-27 Google Inc. Security module endorsement
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US9735968B2 (en) * 2014-10-20 2017-08-15 Microsoft Technology Licensing, Llc Trust service for a client device
CN105389507B (en) * 2015-11-13 2018-12-25 小米科技有限责任公司 The method and device of monitoring system partitioned file
CN105897427A (en) * 2016-04-01 2016-08-24 浪潮电子信息产业股份有限公司 Method, device and system for protecting safety of equipment
US20170308704A1 (en) * 2016-04-20 2017-10-26 Sophos Limited Boot security

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061790A (en) 1996-11-20 2000-05-09 Starfish Software, Inc. Network computer system with remote user data encipher methodology
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6144959A (en) 1997-08-18 2000-11-07 Novell, Inc. System and method for managing user accounts in a communication network
US6985953B1 (en) * 1998-11-30 2006-01-10 George Mason University System and apparatus for storage and transfer of secure data on web
KR100430147B1 (en) 2000-03-15 2004-05-03 인터내셔널 비지네스 머신즈 코포레이션 Access Control for Computers
JP4556308B2 (en) * 2000-08-31 2010-10-06 ソニー株式会社 Content distribution system, a content distribution method, and an information processing apparatus, and program providing medium
CA2371124A1 (en) * 2001-02-09 2002-08-09 Itaru Kawakami Information processing method/apparatus and program
GB2376765B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
US8005965B2 (en) * 2001-06-30 2011-08-23 International Business Machines Corporation Method and system for secure server-based session management using single-use HTTP cookies
US7191464B2 (en) * 2001-10-16 2007-03-13 Lenovo Pte. Ltd. Method and system for tracking a secure boot in a trusted computing environment
GB2382419B (en) * 2001-11-22 2005-12-14 * Hewlett-Packard Company Apparatus and method for creating a trusted environment
US7103771B2 (en) 2001-12-17 2006-09-05 Intel Corporation Connecting a virtual token to a physical token
US9544297B2 (en) * 2002-03-08 2017-01-10 Algorithmic Research Ltd. Method for secured data processing
US7130921B2 (en) * 2002-03-15 2006-10-31 International Business Machines Corporation Centrally enhanced peer-to-peer resource sharing method and apparatus
US7058807B2 (en) 2002-04-15 2006-06-06 Intel Corporation Validation of inclusion of a platform within a data center
US7216369B2 (en) * 2002-06-28 2007-05-08 Intel Corporation Trusted platform apparatus, system, and method
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
US8261063B2 (en) * 2003-02-03 2012-09-04 Hewlett-Packard Development Company, L.P. Method and apparatus for managing a hierarchy of nodes
US7624272B2 (en) * 2003-03-31 2009-11-24 Intel Corporation Platform information for digital signatures

Also Published As

Publication number Publication date
US20050120219A1 (en) 2005-06-02
US20120185694A1 (en) 2012-07-19
JP2005167589A (en) 2005-06-23
CN100594692C (en) 2010-03-17
US8560857B2 (en) 2013-10-15
US8171295B2 (en) 2012-05-01
CN1625105A (en) 2005-06-08

Similar Documents

Publication Publication Date Title
US7380136B2 (en) Methods and apparatus for secure collection and display of user interface information in a pre-boot environment
US8068613B2 (en) Method and apparatus for remotely provisioning software-based security coprocessors
EP2141625B1 (en) System and method to secure boot UEFI firmware and UEFI-aware operating systems on a mobile internet device (mid)
JP5611768B2 (en) Inclusive verification of platform to data center
US9209979B2 (en) Secure network cloud architecture
US7376974B2 (en) Apparatus and method for creating a trusted environment
US7478246B2 (en) Method for providing a scalable trusted platform module in a hypervisor environment
CA2923740C (en) Software code signing system and method
US8254568B2 (en) Secure booting a computing device
US7475247B2 (en) Method for using a portable computing device as a smart key device
US7836121B2 (en) Dynamic executable
JP4732513B2 (en) Method and apparatus for providing a software-based security coprocessor
US8806221B2 (en) Securely recovering a computing device
US6223284B1 (en) Method and apparatus for remote ROM flashing and security management for a computer system
EP1759261B1 (en) Method and apparatus for providing secure virtualization of a trusted platform module
JP6222592B2 (en) Mobile application identity verification for mobile application management
JP5060652B2 (en) How to unlock the secret of the calling program
Kostiainen et al. On-board credentials with open provisioning
US8656482B1 (en) Secure communication using a trusted virtual machine
JP4720819B2 (en) Secure remote access system
US20050149729A1 (en) Method to support XML-based security and key management services in a pre-boot execution environment
KR101085631B1 (en) Three way validation and authentication of boot files transmitted from server to client
JP5378460B2 (en) System and method for protected operating system boot using state verification
EP1679632B1 (en) Systems and methods for securely booting a computer with a trusted processing module
US20060256106A1 (en) Method and apparatus for migrating software-based security coprocessors

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal


Effective date: 20061003

A521 Written amendment


Effective date: 20061225

A02 Decision of refusal


Effective date: 20070306

A521 Written amendment


Effective date: 20070515

A911 Transfer of reconsideration by examiner before appeal (zenchi)


Effective date: 20070620

A131 Notification of reasons for refusal


Effective date: 20070828

A521 Written amendment


Effective date: 20071126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)


Effective date: 20071225

RD14 Notification of resignation of power of sub attorney


Effective date: 20071225

A61 First payment of annual fees (during grant procedure)


Effective date: 20071227

R150 Certificate of patent (=grant) or registration of utility model


FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110111

Year of fee payment: 3

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120111

Year of fee payment: 4

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130111

Year of fee payment: 5

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140111

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees